Procédure de certification hébergeur de données de santé (HDS)

24 Avr 2018
Damien Culo
705
0
Temps de lecture ~ 8 min

Depuis le 1er avril 2018, l’agrément hébergeur de données de santé est officiellement remplacé par la certification HDS. Suite à un précédent article sur l’évolution de la procédure d’agrément, celui-ci propose une présentation de la nouvelle démarche de certification publiée pour se préparer à sa mise en place.

Rappel du contexte hébergement de données de santé

Pour rappel, l’hébergement de données de santé est encadré par l’article L.1111-8 du code de la santé publique et l’ordonnance n° 2017-27 relative du 12 janvier 2017 remplace officiellement l’agrément par une certification délivrée par un organisme certificateur (c’est-à-dire accrédité par le COFRAC ou un organisme européen équivalent). Le référentiel de certification sera bientôt publié officiellement, néanmoins une version provisoire a déjà été publiée le 29 novembre 2017. La version définitive comportera des ajustements, mais ils devraient rester mineurs (selon l’ASIP Santé).

La certification hébergement de données de santé concerne tout organisme qui héberge des données de santé pour le compte d’un tiers responsable du traitement sur les activités de prévention, de diagnostic, de soins ou de suivi social ou médicosocial.

Présentation du référentiel HDS actuel

Le référentiel s’appuie sur des normes internationales pour bénéficier d’une démarche de certification existante. Les normes retenues sont la norme 27001 dans son intégralité, complétée par des exigences issues des normes 20000 et 27018. Des exigences spécifiques santé ont également été ajoutées. Ce sont des exigences inédites ou des précisions sur des exigences normatives. Il est à noter la présence d’une seule exigence de la norme 27017, or cette norme évoquée dans le référentiel n’est pas reprise dans les communications ultérieures de l’ASIP Santé.

La nouvelle procédure propose deux types de certification, une certification « hébergeur d’infrastructure physique » et une certification « hébergeur infogérant ». Pour sélectionner le périmètre adéquat, il faut identifier les services HDS fournis parmi les 6 activités types listées par l’ASIP Santé :

  • La certification hébergeur d’infrastructure physique couvre les activités :
    • Mise à disposition et maintien de locaux pour l’hébergement physique
    • Mise à disposition et maintien de l’infrastructure matérielle
  • La certification hébergeur infogérant couvrent les activités :
    • Mise à disposition et maintien de l’infrastructure virtuelle
    • Mise à disposition et maintien de plateforme applicative
    • Infogérance du système d’information traitant de données de santé
    • Mise à disposition et maintien des sauvegardes externalisées

Pour un service HDS couvrant au moins une activité de chaque périmètre, ce sont les deux certifications qui devront être obtenues.

Présentation des exigences de la certification HDS

Concrètement, la procédure requiert une certification 27001 en complétant l’annexe A par les exigences issues des normes sélectionnées (20000, 27017, 27018) et spécifiques santé. De la sorte, le référentiel comprend 45 exigences complémentaires :

  • 4 exigences 20000 sur la conception et la modification de services, la continuité de service et la gestion de la capacité ;
  • 25 exigences 27018 issues de son annexe A en lien avec les principes de vie privée ;
  • 1 exigence 27017, sur la définition explicite des rôles et responsabilités sécurité entre le client et le fournisseur de service HDS ;
  • 11 exigences renforçant des exigences existantes (27001, 20000, 27018 et 27017) ;
  • Et 4 exigences dédiées santé sur le recueil d’un engagement client sur la conformité à la PGSSI, la mise à disposition des rapports d’audit de certification aux clients, l’identification d’un point de contact chez le client et la prise en compte de la langue française.

La certification hébergeur d’infrastructure couvre 40 exigences sur les 45 exigences complémentaires HDS tandis que la certification hébergeur infogérant couvre l’ensemble des 45 exigences.

Il est possible avec la nouvelle procédure de certification de faire prévaloir ces certifications existantes 27001 et 20000. Les points issus de ces certifications seront tout de même vérifiés, mais sans le contrôle requis pour un audit.

Démarche d’implémentation de la certification HDS

Ainsi pour la mise en place de la certification (quel que soit le périmètre), il est pertinent d’adopter une démarche similaire à la mise en place de l’ISO 27701. En résumé, il sera nécessaire de :

  • définir le domaine d’application de l’ISO 27001 en intégrant les activités concernées par le service HDS, ainsi que l’engagement et les responsabilités de la direction;
  • mettre en place la gestion des risques, en incluant les risques spécifiques à l’hébergement de données de santé;
  • compléter la déclaration d’applicabilité (DdA) avec les 40 ou 45 exigences complémentaires HDS (selon le périmètre), la justification des exclusions et des exigences non applicables ;
  • définir les objectifs de sécurité en spécifiant les objectifs de sécurité liés à l’hébergement de données de santé et les plans pour y parvenir;
  • définir les processus support du SMSI;
  • mettre en œuvre les mesures de sécurité et les processus spécifiques du référentiel HDS (20000, 27018, 20017, exigences santé);
  • définir les programmes de formation et de sensibilisation avec les contraintes spécifiques aux données de santé;
  • exploiter, surveiller et suivre le SMSI avec les exigences HDS;
  • réaliser la demande de certification auprès d’un organisme de certification accrédité conformément au référentiel d’accréditation HDS.

L’un des principaux objectifs d’un SMSI est la préservation d’un niveau de sécurité optimum en accord avec les besoins et les objectifs à la fois de l’organisme et ceux des parties intéressées. Bien sûr, l’implémentation d’un SMSI (HDS ou non) est un vrai projet, parfois complexe à mettre en place. Pour être efficace, il nécessite l’appui de la direction, une organisation claire avec des responsabilités bien identifiées sur les actions à mener.

Source