hds

Blog of cyber

Dans le secteur de la santé, la sécurisation et la confidentialité des données à caractère personnel sont des enjeux incontournables. Dans cette optique, la certification Hébergeur de Données de Santé (HDS) a été instaurée pour répondre à ces exigences.

La certification HDS vise à renforcer la protection des données de santé et à instaurer un environnement de confiance pour les patients, les professionnels de santé et les organisations impliquées dans l'hébergement et le traitement de ces informations sensibles.

L'hébergement des données de santé est une opération complexe nécessitant une infrastructure résiliente, des mesures de sécurité rigoureuses et une gouvernance efficace. La certification HDS représente une preuve de qualité et de conformité aux normes les plus strictes en matière de sécurité des systèmes d'information et de protection des données personnelles. Cet article examine en détail la signification de la certification HDS, les entités concernées, les exigences à respecter et les démarches pour obtenir cette certification essentielle pour l'hébergement des données de santé.

Qu’est-ce que la certification HDS ?

Définition

La certification HDS (Hébergeur de Données de Santé) est une certification de sécurité spécifiquement élaborée pour garantir la protection des données de santé à caractère personnelle en France. Elle s'adresse aux entreprises et prestataires de services hébergeant des informations médicales sensibles, telles que les dossiers patients, les résultats d’analyses médicales et autres données liées à la santé.

Historique

L’agrément HADS, initialement en vigueur, a été remplacé en 2018 par la certification HDS, introduisant un cadre plus rigoureux et mieux adapté aux exigences contemporaines en matière de sécurité et de conformité. Une nouvelle version du référentiel, HDSv2, est entrée en vigueur en mai 2024 afin de répondre aux évolutions technologiques et aux besoins accrus en matière de cybersécurité.

Obligations légales

La certification HDS est une exigence réglementaire pour tous les organismes publics ou privés hébergeant, exploitant les systèmes d’information de santé ou réalisant des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé. Elle assure la conformité légale avec des régulations telles que le RGPD (Règlement Général sur la Protection des Données) et la législation française sur la protection des données de santé.

Rôle de l’ANS

L’Agence du Numérique en Santé (ANS), anciennement ASIP Santé, joue un rôle déterminant dans le processus de certification HDS. L’ANS définit les exigences et les critères de certification, et valide également les organismes certificateurs accrédités délivrant les certificats HDS.

Objectif

L’objectif primordial de la certification HDS est d’assurer que les données de santé soient traitées de manière sécurisée, confidentielle et conforme à la réglementation. Elle reconnaît les fournisseurs de services cloud et d’hébergement répondant aux exigences réglementaires pour la protection des données de santé, garantissant ainsi un cadre de confiance pour les patients et les professionnels de santé.

Lois et codes de référence

Le besoin de certification HDS découle de la Loi de Santé, qui encadre l’hébergement des données de santé à caractère personnel. Le référentiel HDS s’appuie sur la norme ISO/IEC 27001, qui intègre notamment le respect du RGPD. Ces exigences garantissent la mise en œuvre de mesures de sécurité et de confidentialité rigoureuses visant à assurer la disponibilité, la confidentialité, l’intégrité et la traçabilité des données, afin de prévenir tout accès non autorisé ou toute divulgation.

Qui est concerné par la certification HDS ?

La certification HDS est indispensable pour une variété d’entités manipulant des données de santé. Voici les principaux acteurs concernés :

Startups santé

Les startups spécialisées dans la santé numérique, développant des solutions impliquant l’hébergement et le traitement de données de santé, doivent obtenir la certification HDS pour garantir leur conformité aux régulations françaises et protéger les données qu’elles gèrent.

Hébergeurs

Les entreprises spécialisées dans l’hébergement de données ou les fournisseurs de services cloud, comme Google Cloud, Amazon Web Services (AWS) et Microsoft, doivent être certifiées HDS pour pouvoir servir le marché français en hébergeant des données de santé.

Prestataires cloud et SaaS

Les éditeurs de logiciels en mode SaaS ou les plateformes cloud proposant des services de stockage ou de traitement de données pour le secteur médical doivent également être certifiés HDS. Ils sont responsables de la sécurité des données hébergées dans leur environnement applicatif.

Infogéreurs

Les prestataires d’infogérance (ou de services managés) peuvent être amenés à accéder à des données de santé dans le cadre de la gestion d’infrastructures, de la maintenance ou du support technique. Dès lors qu’ils ont un accès logique ou physique à ces données, la certification HDS est obligatoire pour garantir le respect des normes de sécurité, de traçabilité et de confidentialité.

Quelles sont les exigences à respecter ?

ISO 27001

La certification HDS repose sur le standard international ISO 27001:2022, qui définit les exigences pour un Système de Management de la Sécurité de l'Information (SMSI). Elle garantit la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations, protégeant les données contre les cybermenaces et autres risques.

Exigences spécifiques HDS

La certification HDS impose également des exigences spécifiques définies dans le référentiel HDS, comprenant 31 exigences réparties en plusieurs catégories. Ces exigences complémentaires concernent la protection des données de santé personnelles, la transparence des opérations et les obligations contractuelles spécifiques aux clients.

Par exemple, il est obligatoire d’héberger les données de santé collectées en France au sein de l’Espace Économique Européen (EEE) et de communiquer de manière transparente, les activités des tiers impliqués dans l’hébergement des données de santé aux clients.

Six périmètres d’activité possibles

La certification HDS peut être obtenue dans six périmètres d’activité distincts, correspondant à différents types de services d’hébergement et de traitement des données de santé. Ces périmètres incluent l’hébergement de données, la gestion des systèmes d’information de santé, les services de sauvegarde et de restauration des données, ainsi que d’autres activités liées à la gestion et à la protection des données de santé.

Les 6 étapes pour obtenir la certification HDS

Obtenir la certification HDS nécessite de suivre un processus structuré et rigoureux. Voici les six étapes clés :

1. Évaluation interne

Effectuez une évaluation interne de votre système d’information et de vos processus pour identifier les points forts et les axes d’amélioration nécessaires à la conformité avec le référentiel HDS.

Cette évaluation préalable prépare l’organisation aux audits et évite les non-conformités majeures.

2. Préparation documentaire

Préparez l’ensemble des documents décrivant les politiques, procédures et processus de votre système d’information, incluant les politiques de sécurité, les procédures de gestion des incidents, les plans de continuité et de reprise d’activité, ainsi que les contrats et clauses contractuelles types (CTT).

Une revue documentaire approfondie par l’organisme certificateur est essentielle pour valider la conformité documentaire.

3. Choix d’un auditeur

Sélectionnez un organisme certificateur accrédité par le COFRAC ou un équivalent européen. L’auditeur chargé de l’audit et de la délivrance de la certification HDS doit être compétent et expérimenté, ce qui conditionne la réussite du processus de certification.

4. Audit initial

L’audit initial se compose de deux phases : l’audit documentaire et l’audit sur site. L’audit documentaire vérifie la conformité des documents par rapport aux exigences du référentiel HDS, tandis que l’audit sur site recueille des preuves de conformité technique et organisationnelle.

En cas de non-conformités, un délai de trois mois est accordé pour les corriger. Une fois les audits réussis, la certification HDS est délivrée pour trois ans, avec des audits de surveillance annuels assurant la continuité de la conformité.

5. Rapport et correction

Après l’audit, l’organisme certificateur fournit un rapport détaillant les non-conformités éventuelles et les recommandations pour les corriger. L’organisation doit mettre en œuvre les corrections nécessaires et faire auditer ces ajustements pour obtenir la certification définitive.

Ce processus est indispensable pour garantir que toutes les exigences sont pleinement respectées.

6. Certification et surveillance

Une fois la certification HDS obtenue, il est essentiel de maintenir la conformité via des audits de surveillance annuels, garantissant que les exigences du référentiel HDS sont continuellement respectées et que les processus de sécurité et de gestion des données de santé demeurent efficaces.

Un audit de renouvellement est également requis tous les trois ans pour prolonger la certification.

Certification HDS vs Agrément ANS : quelles différences ?

Clarification des changements : depuis 2018, seule la certification HDS est exigée

Depuis le 1er avril 2018, l’agrément HADS a été remplacé par la certification HDS, marquant le passage à une certification avec des exigences de sécurité nettement renforcées. La certification HDS est désormais l’unique exigence réglementaire pour tous les hébergeurs de données de santé à caractère personnel en France.

Bonnes pratiques pour les DSI/RSSI en projet HDS

Choisir un hébergeur déjà certifié : comment le vérifier

Lors de la planification d’un projet HDS, il est essentiel de sélectionner un hébergeur certifié HDS. Vérifiez la certification en consultant la liste des hébergeurs certifiés HDS publiée par l’Agence du Numérique en Santé (ANS) ou en vérifiant directement les certificats délivrés par les organismes certificateurs accrédités par le COFRAC.

Anticiper les contraintes HDS dans la phase de design IT

Dès la conception de votre infrastructure IT, anticipez les contraintes et exigences de la certification HDS, incluant la mise en place de mesures de sécurité robustes, la définition de politiques de gestion des données de santé, et l’intégration de processus de continuité et de reprise d’activité.

Cette anticipation permet de minimiser les coûts et délais liés à des modifications en cours de projet.

Audit interne HDS readiness : checklist de conformité

Avant de soumettre votre demande de certification, réalisez un audit interne de conformité HDS à l’aide d’une checklist dédiée. Cet audit permet d’évaluer votre système d’information et d’identifier les éventuelles non-conformités par rapport au référentiel HDS.

Cette étape précipitée garantit que votre organisation est prête pour l’audit officiel et réduit le risque de non-conformités majeures.

Intégration dans le SMSI et PSSI existants

Intégrez la certification HDS dans votre Système de Management de la Sécurité de l’Information (SMSI) et votre Politique de Sécurité des Systèmes d’Information (PSSI) existants, assurant ainsi que les exigences de sécurité et de gestion des données de santé sont alignées avec vos pratiques actuelles de gestion des risques et de sécurité de l’information.

Gestion des fournisseurs et des sous-traitants (notion de chaîne de responsabilité)

Gérez rigoureusement les relations avec vos fournisseurs et sous-traitants en établissant une chaîne de responsabilité claire. Définissez des contrats et des clauses contractuelles types (CTT) spécifiant les obligations de sécurité et de confidentialité pour tous les acteurs impliqués dans l’hébergement et le traitement des données de santé.

Comment Board of Cyber peut vous aider à obtenir la certification HDS ?

Obtenir la certification HDS peut être un processus complexe et exigeant, mais avec l’aide de Board of Cyber, vous pouvez simplifier et optimiser votre parcours vers la conformité. Voici comment notre expertise et nos outils peuvent vous soutenir :

Outils de pilotage de la conformité

Board of Cyber propose des outils de pilotage de la conformité, comme Trust HQ, spécifiquement conçus pour aider les organisations à naviguer dans les exigences du référentiel HDS. Cet outil facilite la gestion et le suivi des différentes étapes du processus de certification, garantissant que toutes les obligations réglementaires sont respectées et que les écarts sont identifiés et corrigés en temps opportun.

Référentiels intégrés

Nos solutions intègrent les référentiels HDS, ISO 27001, RGPD et autres référentiels pertinentes, simplifiant ainsi la mise en place des contrôles et processus nécessaires pour la certification. Cela permet d’aligner vos pratiques de sécurité et de gestion des données de santé avec les exigences spécifiques du référentiel HDS, sans gérer plusieurs cadres de référence distincts.

Suivi des écarts

Board of Cyber vous assiste dans l’identification et la correction des écarts par rapport aux exigences de la certification HDS. Notre outil de suivi détectent les non-conformités potentielles et mettent en place des plans d’action correctifs pour assurer une conformité continue, réduisant ainsi le risque de non-conformité majeure lors des audits et simplifiant le processus de correction.

Automatisation des audits

Nos solutions automatisent une grande partie des audits et vérifications nécessaires pour la certification HDS, incluant les tests de sécurité, les audits de conformité, et les vérifications des politiques et procédures. L’automatisation de ces processus réduit le temps et les ressources nécessaires, tout en augmentant la précision et l’efficacité des audits.

Avec l’aide de Board of Cyber, vous pouvez naviguer avec confiance dans le processus de certification HDS, en assurant que toutes les exigences sont respectées et que votre organisation est prête pour les audits et la certification. Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de certification HDS.

Conclusion

La certification HDS est à la fois une exigence réglementaire et une marque de confiance pour les acteurs du secteur de la santé. Pour réussir ce processus, il est essentiel d’adopter des bonnes pratiques essentielles.

Sélectionnez un hébergeur certifié HDS et vérifiez sa certification auprès de l’Agence du Numérique en Santé (ANS). Anticipez les contraintes HDS dès la conception de votre infrastructure IT et réalisez un audit interne de conformité HDS pour identifier et corriger les écarts.

Intégrez les exigences HDS dans votre Système de Management de la Sécurité de l’Information (SMSI) et votre Politique de Sécurité des Systèmes d’Information (PSSI) existants. Gérez rigoureusement les relations avec les fournisseurs et sous-traitants en établissant une chaîne de responsabilité claire.

N’attendez plus pour entreprendre les démarches nécessaires à l’obtention de la certification HDS, essentielle pour protéger les données de santé et renforcer la confiance au sein de votre organisation.

Article vérifié par Alexandre RENDOUR- Consultant GRC (Gouvernance Risque et Conformité) - Almond

Retour au blog