Devenir hébergeur de données de santé (HDS) en 2017 et 2018

17 Fév 2017
Damien Culo, Ingénieur SSI
1828
0

Avant de répondre à cette question, petit rappel sur l’agrément hébergeur de données de santé et ses limites.

Rappel

L’obligation de recours à un hébergeur agréé pour l’hébergement de données de santé est issue de l’article L1111-8 du code de la santé publique (issue de la loi nº 2002-303 du 4 mars 2002) et modifiée par le décret n° 2006-6 du 4 janvier 2006.

La loi santé du 26 janvier 2016 (dénommée « loi de modernisation de notre système de santé ») change une nouvelle fois le cadre juridique, notamment en remplaçant la procédure d’agrément par une procédure de certification.

L’objectif de ces différentes lois, est principalement de garantir la sécurité des données de santé à caractère personnel chez un hébergeur tiers. La mise en œuvre de la nouvelle procédure vise à renforcer le contrôle de la sécurité par l’intervention d’un organisme certificateur indépendant (l’agrément actuel est basé sur un schéma déclaratif), et aussi de diminuer les délais de délivrance de l’agrément qui devenait une charge trop importante pour l’ASIP Santé (Agence des Systèmes d’Information Partagés de santé). L’une des attentes de la nouvelle loi était également pour certains acteurs de répondre à certain détournement de l’agrément constaté ces dernières années.
La définition du prochain référentiel de certification a abouti à un désaccord entre l’AFHADS (Association Française des Hébergeurs Agréés de Données de Santé) et le Syntec Numérique. Les principaux points de discorde portent sur la cohérence de sécurisation de la chaine qui lie l‘hébergement physique d’une infrastructure jusqu’à celle des applications qui s’exécutent. L’AFHADS, représentant les hébergeurs, souhaite que les hébergeurs soient garant de la sécurité de l’ensemble de la chaine afin de s’assurer que les applications ne diminuent pas leur niveau de sécurité. D’autres acteurs représentés par le Syntec Numérique souhaitent quant à eux séparer la responsabilité de sécurisation de l’hébergement de celle de garantir la sécurité des applications. Ils soulignent que ce n’est pas le rôle des hébergeurs et doit faire l’objet d’un contrôle de conformité hors du périmètre de la certification hébergeur.
La version du référentiel de certification soumis en consultation publique s’axe davantage du côté du Syntec. L’AFHADS qui milite pour son point de vue, détaille sa position dans une série d’articles . À l’issue de la consultation qui s’est déroulée entre le 16 septembre et le 31 octobre 2016, 400 remarques ont été émises à l’ASIP Santé qui travaille depuis sur la révision du référentiel pour leur prise en compte. La nouvelle version était prévue pour janvier 2017.
Pour détailler le référentiel tel que présenté actuellement, il s’appuie sur le standard international ISO 27001 (dans son intégralité) auquel s’ajoute des exigences issues de l’ISO 20000, de l’ISO 27018 et des exigences spécifiques santé. Il sera nécessaire pour un candidat d’obtenir la certification ISO 27001 complétée avec un audit de conformité aux exigences ISO 20000, 27018 et celles spécifiques santés définies pour le référentiel. Pour les candidats disposant déjà d’une certification ISO 27001 et ISO 20000, les exigences de ces normes seront simplement vérifiées (ce qui ne sera pas le cas pour l’ISO 27018 qui est un guide d’implémentation et ne dispose pas d’une certification). Le référentiel propose aussi deux types de certification, une certification « hébergeur d’infrastructure » et une « hébergeur infogérant ».

Comment devenir hébergeur de données de santé en 2017 et en 2018 ?

C’est la publication au Journal officiel du 13 janvier 2017 de l’ordonnance n° 2017-27 relative à l’hébergement de données de santé à caractère personnel qui remplace officiellement l’agrément par une certification délivrée par un organisme certificateur (c’est-à-dire accrédité par le COFRAC ou d’autres organismes européens équivalent). Il fixe également le délai de mise en œuvre qui s’appliquera à « une date fixée par décret et au plus tard le 1er janvier 2019 ». Ainsi, la procédure d’agrément reste valable encore quelque temps. Ceux qui souhaitent devenir hébergeur ou renouveler leur agrément peuvent continuer à déposer leur dossier. Les demandes déposées avant la date d’entrée en vigueur de la procédure de certification (qui sera fixée définitivement par décret) seront encore traitées comme des demandes d’agrément ou de renouvellement (même si le délai d’instruction du dossier dépasse la date de changement de modèle).

Pour ceux dont l’échéance de renouvellement arrive après cette date, ils disposeront d’un délai de 12 mois pour se mettre en conformité et obtenir la certification.

La procédure d’agrément s’appuie sur un mode déclaratif ou le candidat demandeur d’agrément doit fournir des informations sur six formulaires (P1 à P6) suivant des thématiques imposées et deux formulaires (C1, C2) d’engagement d’auto-évaluation et de contrôle de son activité. L’ASIP Santé met également à disposition des candidats une foire aux questions pour répondre, aux questions les plus fréquemment posées.

Le changement de procédure représente une avancée dans le renforcement du niveau de sécurité des services d’hébergement de données de santé. Les certifications nécessitant un audit sur site, offrent davantage de confiance face à un agrément basé sur un audit déclaratif. Le niveau d’exigence augmentant, il entrainera par contre peut-être plus de difficulté pour l’obtention de la certification.
Le recours à des normes reconnues, va permettre une reconnaissance internationale de cette certification et va mettre davantage en avant la prise en compte de la sécurité chez les hébergeurs de données de santé. Elles vont également faciliter l’ouverture à des compétences davantage partagées dans le milieu de la sécurité, qui vont permettre l’intervention de plus d’acteurs dans le monde de la santé et contribuer à renforcer le niveau de sécurité.
Néanmoins, les débats autour du référentiel vont difficilement aboutir à un consensus acceptable par tous. Il est nécessaire que, quel que soit la décision de l’ASIP Santé sur le périmètre de certification et les points de contrôle, ce ne soit pas la sécurité de nos données qui en pâtissent. L’ensemble du cycle de vie de ces données chez un hébergeur doit être encadré et contrôlé sur leurs transferts, leurs traitements, leurs stockages, leurs archivages et leur destruction. Il conviendrait ainsi que l’ensemble de éléments intervenant dans ce cycle de vie soit certifiés que ce soit au travers de la certification HDS ou de plusieurs certifications.

Sources

http://www.ticsante.com/Hebergement-des-donnees-de-sante-le-referentiel-de-certification-a-l-heure-du-compromis-NS_3287.html
http://www.ticsante.com/story.php?story=3345