Depuis le 1er avril, l’hébergement des données de santé est davantage encadré par la loi française pour protéger les droits des personnes. Non ce n’est pas un poisson d’avril !
Hébergeurs de données de santé : l’aventure certification commence ici.
Presque 3 mois après l’entrée en vigueur du Décret n°2018-137 le 01/04/2018, un texte vient en préciser les modalités. L’arrêté du 11 juin 2018, publié le 29 juin 2018 au JO, rend opposable deux référentiels établis par l’Agence nationale des systèmes d’information partagés de santé (ASIP Santé) :
– le référentiel d’accréditation des organismes de certification chargés de délivrer le certificat HDS
– le référentiel de certification pour l’hébergement de données de santé
Vous avez désormais toutes les clés en main pour vous lancer dans l’aventure de la certification !
Objets connectés, applications de santé… De nombreux dispositifs médicaux regorgent de données de santé. L’hébergement de ces données peut alors devenir un véritable casse-tête. Petit tour d’horizon pour savoir qui est concerné et comment la règlementation évolue.
1. Qu’est-ce qu’une donnée de santé ?
Jusqu’à présent, ce terme apparaissait sans jamais être explicité. C’est le Règlement général sur la protection des données (RGPD), d’application obligatoire le 25 mai 2018, qui le définit pour la première fois.
Les données de santé sont des « données relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Ce sont des données sensibles au même titre que celles qui font apparaitre les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuse, etc.
2. Qu’est-ce que l’hébergement des données de santé ?
L’hébergement des données de santé comprend plusieurs types d’activités :
- la mise à disposition et le maintien en condition opérationnelle :
- des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information
- de l’infrastructure matérielle du système d’information
- de l’infrastructure virtuelle du système d’information
- de la plateforme d’hébergement d’applications du système d’information ;
- l’administration et l’exploitation du système d’information contenant les données de santé
- la sauvegarde de données de santé.
3. Qui est concerné par la loi française ?
Vous êtes concernés si vous hébergez des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social :
- pour le compte de personnes physiques ou morales, responsables de traitement* (voir définition en bas de page) à l’origine de la production ou du recueil de ces données. Il peut s’agir d’établissements de santé ou de professionnels de santé (exemple : vous hébergez des données de santé recueillies par un professionnel de santé via un logiciel de gestion des dossiers patients).
- pour le compte du patient lui-même (exemple : vous hébergez des données de santé recueillies par le patient via une application grand public).
4. Comment l’hébergement est-il encadré ?
Jusqu’à présent, l’hébergement était encadré par une procédure d’agrément, définie par le décret n°2006-6 du 4 janvier 2006. L’hébergeur devait déposer un dossier, vérifié par des institutions publiques : l’Agence des Systèmes d’Information Partagés de santé (ASIP-Santé), la Commission Nationale de l’Informatique et des Libertés (CNIL) et le Comité d’Agrément des Hébergeurs (CAH). Sous réserve d’un avis favorable de la part de ces institutions, le Ministère de la Santé délivrait l’agrément valable pour une durée de trois ans.
Les conditions d’hébergement des données de santé ont évolué avec l’entrée en vigueur du Décret n° 2018-137 du 26 février 2018 le 1er avril 2018. Ce nouveau décret signe le passage d’un agrément franco-français assuré par l’Etat à une certification « européen-compatible » confiée à des organismes certificateurs agréés. Plusieurs buts à cela :
• Améliorer les délais et la transparence concernant les modalités de délivrance des autorisations
• Ouvrir le marché à la concurrence en faisant reposer la certification sur des normes internationales
• Faciliter les changements de prestataires pour les professionnels de santé
Concrètement, comment ça marche ?
Le certificat est délivré suite à l’évaluation de la conformité à un référentiel par un organisme certificateur. L’hébergeur choisi son organisme certificateur parmi les organismes accrédités par le Comité Français d’Accréditation (COFRAC) ou par un organisme équivalent au niveau européen.
Le décret prévoit deux types de certificats pour des activités distinctes :
- Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle
- Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.
Si vos activités font partie des deux périmètres de certification, l’évaluation de la conformité portera sur toutes les exigences et vous obtiendrez donc les deux certificats.
L’audit comporte deux grandes étapes :
- Un audit documentaire : l’organisme certificateur réalise une revue documentaire du système d’information du candidat et détermine sa conformité aux exigences du référentiel de certification.
- Un audit sur site : l’organisme certificateur recueille les preuves d’audit. L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer les corrections par l’organisme certificateur. Passé ce délai et sans action de l’hébergeur, l’audit sur site devra être recommencé.
Le certificat est délivré pour une durée de trois ans lorsqu’aucune non-conformité n’est constatée. Un audit de surveillance annuel est effectué par l’organisme certificateur.
Le référentiel de certification s’appuie sur des normes internationales :
- La norme ISO 27001 – Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences
- Des exigences de la norme ISO 20000 – Technologies de l’information – Gestion des services – Partie 1: Exigences du système de management des services
- Des exigences de la norme ISO 27018 – Technologies de l’information – Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII
- Et des exigences spécifiques à l’hébergement de données de santé.
Attention, le passage de l’agrément à la certification n’est pas le seul changement introduit par le décret !
Le décret remplace le consentement exprès de la personne concernée par l’hébergement externalisé de ses données de santé par l’information et la possibilité de s’y opposer pour un motif légitime.
Le décret précise le contenu minimal du contrat d’hébergement :
- le périmètre du certificat, la date de délivrance et de renouvellement
- la description des prestations
- l’indication des lieux d’hébergement
- les mesures mises en œuvre pour garantir le respect des droits des personnes
- le référent contractuel du client à contacter pour le traitement des incidents
- la mention des indicateurs de qualité/performance, le niveau garanti …
- information sur les conditions de recours à d’éventuels prestataires externes et leurs engagements
- les modalités pour encadrer les accès de santé à caractère personnel hébergées
- les obligations de l’hébergeur à l’égard de son client en cas de modification ou d’évolution technique
- une information sur les garanties et procédures permettant de couvrir toute défaillance
- la mention de l’interdiction pour l’hébergeur d’utiliser les données à d’autres fins
- une présentation des prestations à la fin de l’hébergement (notamment en cas de perte ou de retrait de certification)
- l’engagement de restitution des données en fin de prestation sans en garder la copie
- l’engagement de destruction des données à la fin de la prestation
5. Comment est organisée la transition de l’agrément vers la certification ?
- Vous êtes déjà agréé pour l’hébergement des données de santé ?
Pas de panique ! Les agréments délivrés avant le 1er avril 2018 produisent leur effet jusqu’à leur terme (trois ans). Bonne nouvelle, si votre agrément arrive à échéance avant le 31 mars 2019, sa durée de validité sera prolongée pour une durée de six mois afin de vous permettre d’effectuer votre transition. - Vous n’êtes pas agréé mais êtes amené à héberger des données de santé ?
Si vos dossiers ont été déposés avant le 1er avril 2018, ils continuent d’être instruits selon la procédure d’agrément et donnent lieu à un agrément valide 3 ans. Depuis le 1er avril, les dossiers sont traités selon la procédure de certification.
6. Quelles sont les sanctions ?
Vous êtes passibles de trois ans d’emprisonnement et de 45 000 euros d’amende :
- si vous proposez une prestation d’hébergement de données de santé sans être titulaire de l’agrément ou du certificat de conformité ;
- si vous traitez des données de santé sans respecter les conditions de l’agrément/du certificat obtenu.
Notez toutefois que le décret responsabilise également les professionnels de santé, qui se doivent de vérifier que leurs prestataires hébergeurs sont bien certifiés;
Conclusion ?
Deux conséquences notables concernant le passage de l’agrément à la certification :
- le coût n’est plus supporté par l’État mais par vous, hébergeurs. Rapprochez-vous d’un organisme certificateur accrédité par le COFRAC pour connaître les coûts de la certification. Ces derniers sont variables en fonction des sociétés et de leur niveau de maturité en matière de sécurité informatique, mais également en fonction du périmètre de certification visé.
- exit le processus déclaratif : la seule rédaction du dossier ne suffit plus. Préparez-vous à l’audit sur site ! Commencez dès à présent à collecter et à conserver vos preuves.
Cela vous paraît trop contraignant ? Vous avez toujours la possibilité de sous-traiter l’hébergement à un tiers.
Contactez un hébergeur référencé dans la liste des hébergeurs agréés de données de santé et renseignez-vous sur son état d’avancement concernant le passage à la certification.
N’oubliez pas que l’encadrement de l’hébergement des données de santé est une mesure franco-française. Avant toute chose, analysez la rentabilité du marché français au regard des coûts engendrés par la certification et/ou par la sous-traitance de l’hébergement à un hébergeur certifié.
Par Chloé Dhordain
Définitions:
* Responsable du traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».
Traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».