Si vous êtes une entreprise évoluant dans le domaine des Sciences de la Vie, vous avez probablement entendu parler de la notion d’hébergement de données de santé. En fonction de vos activités et des réglementations que vous devez suivre, vos données peuvent nécessiter un hébergement « HDS ». Cette contrainte métier a pour objectif principal de protéger les données de santé à caractère personnel traitées durant vos activités.
Dans cet article, nous allons vous apporter plus d’information concernant cet hébergement.
I. Qu’est-ce que l’hébergement HDS ?
a. Les données de santé
Avant tout, nous allons rappeler la définition d’une donnée de santé. Il s’agit d’une donnée concernant la santé physique ou morale d’une personne. Ces données sont des informations sur l’état de santé passé, présent ou futur d’une personne. Par exemple, cela peut être le résultat d’une analyse sanguine, d’une radio, le résultat d’une IRM, une pesée…
Les données de santé sont regroupées en trois catégories :
- Les données de santé par nature : résultat d’un examen, suivi d’une maladie, handicap…
- Les données de santé croisées avec d’autres données : poids croisé avec le nombre de pas, résultat d’un examen croisé avec le suivi d’une maladie…
- Les données de santé utilisées sur le plan médical : toutes les données traitées dans un cadre médical
b. L’hébergement des données de santé
L’hébergement HDS concerne les données de santé à caractère personnel. Ce sont toutes les données de santé pouvant être rattachées à une personne par plusieurs moyens (regroupement de données, photos, caractéristiques précises, manque d’anonymisation…).
L’hébergement HDS concerne les données de santé hébergées pour le compte d’un tiers. Si vous détenez des données de santé pour votre propre compte, vous n’êtes pas obligé d’être certifié HDS. L’hébergement des données de santé est un hébergement spécifique, strictement encadré par la loi.
L’objectif de cet hébergement est de protéger les données de santé. Ces données sont catégorisées comme étant des données « sensibles ». Elles représentent une criticité quant à leur gestion. Cela signifie que si des personnes malveillantes obtiennent ces données, les personnes concernées pourraient subir de graves préjudices.
Cet hébergement encadre plusieurs activités :
- Activités de prévention : éviter l’apparition de maladie, maintenir ou améliorer un état de santé
- Diagnostic ou soin : identifier une maladie ou un état de santé et apporter les soins nécessaires
- Suivi médico-social : accompagner et suivre une maladie ou un état de santé
II. Quel est le rôle de la certification HDS ?
a. Pour les patients
L’objectif principal de cette certification est avant tout de protéger les patients et les personnes physiques ou morales détenant leurs données de toute fuite, perte ou altération. La conformité, l’intégrité et la traçabilité des données doivent être garanties grâce à cet hébergement.
Les patients, dans le cadre de leurs activités de soin, ne doivent pas être préoccupés par des risques liés à leurs données.
b. Pour les organismes de santé
Avec les nouvelles pratiques et les nouvelles technologies utilisées dans la santé, de plus en plus de données sont générées et transitent en ligne.
Une large quantité de données est générée par le secteur de la santé et des sciences de la vie. Cela représente un attrait, notamment pour les personnes malveillantes. En effet, les données de santé sont très valorisées par les hackeurs (revente, divulgation, rançon…). Des mesures de protection spécifiques sont donc nécessaires face à ces menaces.
Le secteur de la santé compte parmi les secteurs les plus touchés par des attaques malveillantes. De plus en plus nous entendons parler d’attaques et de compromission des données détenues par les organismes de santé.
Tous les moyens doivent être mis en œuvre pour éviter la perte, le vol ou l’altération des données.
Les organismes de santé doivent donc protéger les données détenues afin de respecter leurs patients mais aussi les règlementations en vigueur. En effet, avec le RGPD, toute fuite ou altération de données peut donner suite à des poursuites judiciaires et à des sanctions. De même, héberger des données de santé chez un hébergeur non certifié HDS peut donner suite à des poursuites judiciaires.
III. Comment être certifié HDS ?
a. Les niveaux de certification
L’hébergement des données de santé concerne les personnes physiques ou morales hébergeant des données de santé pour le compte de patients, des personnes physiques ou morales.
Il existe plusieurs niveaux d’hébergement HDS.
- Hébergeur d’infrastructure physique : mise à disposition d’une infrastructure physique et matérielle
- Hébergeur infogéreur : mise à disposition d’une infrastructure virtuelle, plateforme logicielle ou de sauvegarde externalisée.
De ces deux niveaux d’hébergement découlent plusieurs activités. Un organisme est certifié pour les activités de son choix. Par exemple, un hébergeur certifié HDS peut l’être uniquement pour les activités 3 et 4. iQualit détient la double certification et est certifié pour les 6 activités encadrées par l’hébergement HDS.
b. Le processus de certification
Afin d’être certifié HDS, un processus de certification doit être suivi. L’organisme souhaitant être certifié doit être audité par un organisme accrédité par le COFRAC. Des audits sur site et documentaire vont être réalisés. Une fois l’audit réussi, l’organisme sera certifié pendant 3 ans. Des audits de surveillance annuels devront être réalisés pour assurer le maintien de la certification.
A l’issue des trois années, si l’organisme souhaite renouveler sa certification HDS, il devra recommencer le processus de certification depuis son début.
Le processus de certification suit le schéma suivant :
A présent, vous en savez plus sur l’hébergement HDS. Si vous souhaitez obtenir plus d’information, être conseillé pour l’hébergement de vos données, ou connaître nos solutions d’hébergement HDS, n’hésitez pas à contacter nos experts !
Informations utiles :
https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante
