• Perspective
Publié le 28 janvier 2022

La démarche de certification HDS

Healthcare business graph and Medical examination and businessman analyzing data and growth chart on blured background

Les Hébergeurs de Données de Santé (HDS) sont soumis depuis le 1er avril 2018 à l’obtention de la certification HDS.

Objectif : La certification HDS a pour vocation de renforcer le niveau de sécurité des données de santé à caractère personnel et de construire un environnement de confiance autour de l’e-santé et du suivi des patients.

Cible : « Toute personne (physique ou morale) qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui même ». Article L.1111 8 du code de la santé publique.

I. Les exigences relatives à la certification HDS

  • Les hébergeurs de données de santé doivent se conformer à des exigences
  • Toutes les exigences demandées par la certification ISO 27001 « système de gestion de la sécurité des systèmes d’information »
  • Des exigences relatives aux normes ISO 20000 1 « système de gestion de la qualité des services » = 4 exigences 20000 sur la conception et la modification de services, la continuité de service et la gestion de la capacité
  • ISO 27017 « Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage » = 1 exigence 27017, sur la définition explicite des rôles et responsabilités sécurité entre le client et le fournisseur de service HDS
  • ISO 27018 « protection des données à caractère personnel » = 25 exigences 27018 issues de son annexe A en lien avec les principes de vie privée
  • 11 exigences renforçant des exigences existantes (27001, 20000, 27018 et 27017)
  • Des exigences spécifiques au domaine de la santé = Et 4 exigences dédiées santé sur le recueil d’un engagement client sur la conformité à la PGSSI, la mise à disposition des rapports d’audit de certification aux clients, l’identification d’un point de contact chez le client et la prise en compte de la langue française.

II. Les objectifs de la certification HDS

La procédure de certification des hébergeurs de données personnelles de santé consiste à :

  • Mesurer l’impact de l’activité de l’hébergeur de données personnelles de
    santé sur la protection des données ;
  • Se conformer aux critères de sécurité informatique : disponibilité, intégrité,
    confidentialité, traçabilité ;
  • Respecter les exigences établies à partir de normes ISO et préconisations de
    l’ANSSI ;

III. Les axes d’évaluation de la certification

IV. Le périmètre de certification

Deux périmètres de certificats seront délivrés aux hébergeurs pour deux métiers
d’hébergement distincts :

  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à
    disposition de locaux d’hébergement physique et d’infrastructure matérielle

Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée.

Si l’activité de l’hébergeur s’inscrit dans les deux types d’activité, l’hébergeur doit obtenir
les deux certifications.

La certification hébergeur d’infrastructure couvre 40 exigences sur les 45 exigences complémentaires HDS tandis que la certification hébergeur infogérant couvre l’ensemble des 45 exigences exigences.

V. Les étapes et le planning

1. L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC
2. Visite d’évaluation : pré-diagnostic en conditions réelles avec un auditeur pour maximiser les chances de l'entreprise d’être certifiée
3. Préparation de l’audit au bout d’un mois : l'auditeur prend connaissance des spécificités de l'entreprise et prépare avec elle le déroulement de l’audit initial
4. Audit blanc à réaliser 2 mois avant l’audit de certification
5. Audit documentaire* : revue documentaire du système d’information afin de déterminer sa conformité aux exigences du référentiel de certification.
6. Audit sur site* : les preuves de conformité technique et organisationnelle sont recueillies dans les locaux de l'entreprise
7. Résultats (1 mois après l'audit):
a. AFNOR Certification délivre le certificat HDS et ISO 27001 et les logos pour 3 ans
b. L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non conformités et faire auditer ses corrections. Passé ce délai et sans action de l’hébergeur, toute la procédure d’audit sur site sera de nouveau réalisée.
8. Surveillance : audit de suivi tous les ans
9. Renouvellement : audit de renouvellement tous les 3 ans

*Si l’hébergeur est déjà certifié ISO 27001 il disposera d’ un audit allégé.

VI. Les compétences nécessaires pour accompagner sur ces sujets

  • La norme ISO 27001 « système de gestion de la sécurité des systèmes d’information»
  • La norme ISO 20000 « système de gestion de la qualité des services »
  • La norme ISO 27017 « Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage »
  • La norme ISO 27018 « protection des données à caractère personnel »
  • Expertises sur le sujet de l’hébergement de données de santé

Sources

https://esante.gouv.fr/sites/default/files/media_entity/documents/jni2017presentationsatelier-hds.pdf

https://data.ird.fr/wp-content/uploads/2021/01/HDS_cadre-juridique-1.pdf

https://certification.afnor.org/numerique/certification-hds-hebergement-des-donnees-de-santehttps://feelagile.com/certification-hds/

https://esante.gouv.fr/labels-certifications/hebergement-des-donnees-de-sante

https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante

https://www.digitemis.com/procedure-de-certification-hebergeur-de-donnees-de-santehds/

https://esante.gouv.fr/sites/default/files/media_entity/documents/hds_referentiel_de_certification_v1.1f_mai2018.pdf

Raphaël Solennel, Consultant

Article rédigé par
Tristan Loret