Données de santé : les évolutions à venir

Données de santé : les évolutions à venir

Une refonte complète de la procédure d’agrément des hébergeurs de données de santé à caractère personnel a été opérée. Ce changement acté par la loi de modernisation du système de santé français du 26/01/2016 impose une évolution vers une procédure de certification.

La loi de modernisation n°2016-41 a été publiée au journal officiel le 27/01/2016. La loi initiale relative à la procédure des hébergeurs de données de santé à caractère personnel datait du 04/03/2002 et permettait de garantir la sécurité, la traçabilité et la confidentialité des informations externalisées.


L’agrément pour l’hébergement de données de santé à caractère personnel évolue

Les dossiers d’agrément sont actuellement analysés par l’ASIP Santé, la CNIL et un comité d’agrément. Ces dossiers sont déclaratifs et ne permettent pas d’identifier suffisamment les moyens à mettre en œuvre ce qui empêche les pouvoirs publics d’évaluer l’efficacité des mesures de protection. C’est pourquoi l’analyse de ces dossiers va être confiée à des organismes certifiés par le COFRAC qui est le comité français d’accréditation.

 

Chaque hébergeur devra se rapprocher d’un organisme certifié pour valider son dossier HDS. Des audits annuels auront lieu chez les hébergeurs. Actuellement, le nouveau dossier publié par les autorités est en concertation publique. Il comprend deux niveaux de certification :

  • Hébergeur d’infrastructures
  • Hébergement physique (locaux, clim, électricités, sécurité physique, FAI..)
  • Mise en œuvre des matériels informatiques
  • Maintenance du matériel informatique

 

  • Hébergeur infogérant
  • Infogérance
    -  Systèmes d’exploitation, Middleware, logiciel métiers
    -  Administration quotidienne
    -  Supervision
    -  Installation de composants, patchs, nouvelles versions
    -  Gestion des tiers
    -  Gestion de la capacité
  • Sauvegardes externalisées

 

  • Hébergeur de données de santé, regroupant les deux premières certifications

 

Une certification ISO27001 sera obligatoire sur le périmètre de prestation HDS. Des évaluations auront lieu sur certaines clauses de la norme ISO 27018 qui concerne les exigences relatives à la protection des données à caractère personnel.

 

De même, certaines exigences de la norme ISO 20000 relatives à la gestion des services et d’autres relatives au domaine de la santé seront évaluées.

 

Le remplacement de la procédure d’agrément HDS par une certification doit être entériné par une ordonnance actuellement en cours d’examen, pour une publication prévue au plus tard en janvier 2017.

 

D’ici là, les agréments actuels devraient conserver leur validité.

 

Stéphane Klein, Responsable Sécurité des Systèmes d’Information et Responsable Qualité chez CIS Valley.