La certification HDS : c’est quoi exactement ?

La certification HDS, abréviation de Hébergeur de Données de Santé, est une norme essentielle pour garantir la protection et la sécurité des données médicales sensibles en France. Quelles sont donc les données régies par cette certification ? Quels sont les professionnels concernés ? Et comment les professionnels peuvent-ils obtenir la certification HDS ? DigDeo répond à toutes vos questions.

Qu’est-ce que la certification HDS (Hébergeur de Données de Santé) ?

La certification HDS, ou Hébergeur de Données de Santé, est une qualification spéciale accordée aux entités autorisées à héberger des données médicales personnelles.

Instaurée par le décret n°2018-137 du 26 février 2018 en France, cette certification vise à garantir que les données de santé soient conservées avec le plus haut niveau de sécurité et de confidentialité.

Elle est délivrée par des organismes de certification accrédités et est basée sur un référentiel d’exigences précis élaboré par l’Agence du Numérique en Santé.

Qui et concerné par la certification HDS ?

La certification HDS (Hébergeur de Données de Santé) concerne toutes les entités qui manipulent des données de santé à caractère personnel en France.

Cela inclut :

• les professionnels de santé ;
• les établissements de santé (hôpitaux, laboratoires d’analyse médicale, mutuelles santé) ;
• les hébergeurs de données de santé ;
• les éditeurs de logiciels utilisés dans le domaine de la santé ;
• toute entité qui stocke, traite ou transmet des données de santé en France.

En résumé : toute organisation publique ou privée intervenant dans le domaine de la santé et manipulant des données de santé est concernée par la certification HDS.

Pour délivrer un service de santé, il faut que l’ensemble des 6 niveaux que compose la norme soit certifiés en direct ou par sous-traitance.

La certification HDS est-elle obligatoire ?

La certification HDS est obligatoire pour toute entité, publique ou privée, qui héberge ou manipule des données de santé à caractère personnel. Cette obligation comprend aussi les activités d’infogérance des services et applications contenant des données de santé. Cependant, il existe quelques exceptions à cette règle. Par exemple, les services d’archivage informatique ne sont pas concernés par cette obligation.

Quels sont les différents types de certifications HDS ?

La certification HDS décline 6 niveaux que l’on peut regrouper en deux familles.

Prestation d’hébergeurs d’infrastructure physique

• niveau 1 : Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberer l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
• niveau 2 : Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé

Prestation d’hébergeur infogéreur

• niveau 3 : Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
• niveau 4 : Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé
• niveau 5 : Administration et exploitation du système d’information contenant les données de santé
• niveau 6 : Sauvegardes externalisées des données de santé

La certification HDS se décline en deux familles d’acteurs certifiés.

La certification « Hébergeur d’infrastructure physique »

La certification « Hébergeur d’infrastructure physique »
constitue le premier type de certificat découlant de la certification HDS.
Ce certificat est attribué aux hébergeurs qui mettent à disposition et maintiennent en condition opérationnelle l’infrastructure matérielle nécessaire pour traiter les données de santé.
Cela comprend l’offre de locaux physiques adaptés pour l’hébergement de ces infrastructures.

Ces acteurs possèdent les niveaux 1 et 2 et parfois 3 à 4 en fonction des services proposés. Mais ne permettent pas de couvrir les 6 niveaux du périmètre HDS.

La certification « Hébergeurs infogéreurs »

La certification « Hébergeurs infogéreurs »
correspond au second type de certificat HDS. Cette certification est destinée aux hébergeurs qui non seulement mettent à disposition et maintiennent en condition opérationnelle l’infrastructure matérielle nécessaire pour traiter les données de santé, mais assurent aussi la gestion des systèmes et applications informatiques concernés.

Ces hébergeurs infogéreurs se chargent notamment des plateformes logicielles, des infrastructures virtuelles et des sauvegardes externalisées.

Ces acteurs, comme DigDeo, permettent de satisfaire aux exigences de la norme HDS pour héberger / traiter / sauvegarder des données HDS.

Comment obtenir la certification HDS ?

Pour obtenir la certification HDS, il faut suivre plusieurs étapes clés :

Étape 1 : Choisir un organisme certificateur

La première étape pour obtenir la certification HDS consiste à sélectionner un organisme certificateur. Cet organisme doit être accrédité par le COFRAC, le Comité Français d’Accréditation, ou un équivalent européen. Le choix de l’organisme peut dépendre de divers facteurs tels que son expérience dans le domaine de la santé, sa réputation, la qualité de ses audits ou encore ses tarifs. Ce choix est crucial car il va influencer le déroulement de tout le processus de certification.

Étape 2 : Préparer son audit

Durant cette phase, l’hébergeur doit effectuer un examen approfondi de ses systèmes et procédures en place pour s’assurer qu’ils respectent les exigences du référentiel HDS. Il peut être utile de faire appel à un consultant externe pour obtenir un avis objectif. Des actions correctives doivent être prises pour remédier aux failles ou insuffisances détectées afin d’être pleinement préparé pour l’audit documentaire à venir.

Étape 3 : Organiser l’audit documentaire

L’audit documentaire sert à vérifier la conformité du système d’information de l’hébergeur aux exigences du référentiel de certification. L’organisme certificateur examine les documents relatifs à la gestion des risques, la sécurité des informations et l’intégrité des données. Il est essentiel que tous les documents soient prêts et conformes pour éviter tout retard ou échec dans l’obtention de la certification. À la fin de l’audit documentaire, un rapport est établi. Il met en évidence les points de conformité et les éventuelles non-conformités.

Étape 4 : Organiser l’audit sur site

Lors de l’audit sur site, l’organisme certificateur se rend dans les locaux de l’hébergeur pour évaluer en situation réelle la conformité de ses installations et pratiques avec les exigences du référentiel HDS. Il peut par exemple s’agir de vérifier les systèmes de sécurité, la gestion des accès aux données, les procédures de sauvegarde et de restauration des données, ou encore la gestion des incidents. C’est l’occasion de recueillir des preuves d’audit. Cela peut comprendre des entretiens avec le personnel, des observations directes, des tests ou des examens de documents. À la clôture de l’audit, un rapport met en lumière les aspects conformes et non-conformes.

Étape 5 : Corriger les non-conformités

Après l’audit sur site, l’hébergeur dispose de 3 mois pour corriger les failles détectées. Cette échéance est importante, car si aucune action n’est entreprise dans ce délai, l’audit sur site devra être à nouveau réalisé. Les corrections apportées doivent être auditées afin de vérifier leur efficacité et leur conformité aux normes. C’est l’occasion pour l’hébergeur d’améliorer son processus de gestion pour éviter la répétition de ces non-conformités.

Étape 6 : Réceptionner le certificat

Après avoir corrigé les non-conformités et les avoir soumises à une vérification de l’organisme certificateur, l’hébergeur peut enfin recevoir son certificat HDS. Ce document officiel atteste de la conformité de l’hébergeur aux exigences du référentiel HDS. La réception du certificat marque la fin du processus de certification et l’obtention de la reconnaissance en tant qu’hébergeur de données de santé. Il est crucial de conserver ce certificat en lieu sûr et de le présenter lors des contrôles ou lors de la sollicitation de nouveaux contrats.

Quelles sont les exigences du référentiel HDS ?

Le référentiel nécessaire pour l’obtention de la certification HDS est défini par l’Agence du Numérique en Santé.

Il comprend :

• L’intégralité des exigences de la norme ISO 27001, qui concerne la sécurité des systèmes d’information.
• Une partie des exigences de la norme ISO 20000-1, relative à la gestion des services informatiques.
• Des exigences spécifiques supplémentaires liées à l’hébergement des données de santé.

Il est à noter que pour être certifié, l’hébergeur doit également obtenir un certificat ISO 27001. Ce référentiel est donc une combinaison de différentes normes et exigences, visant à assurer un niveau de sécurité optimal pour l’hébergement HDS (ou hébergement des données de santé). Découvrez comment
être certifié ISO 27001.

Quels sont les avantages de la certification HDS ?

La certification HDS présente de nombreux avantages pour les différents acteurs du secteur de la santé.

Pour les hébergeurs

En obtenant la certification HDS, l’hébergeur démontre sa compétence et son engagement professionnel dans la sécurité informatique et la gestion sécurisée des données de santé, renforçant ainsi sa crédibilité auprès des parties prenantes.

Pour les professionnels de santé

Les professionnels de santé peuvent avoir la certitude que leurs données et celles de leurs patients sont gérées avec le plus grand soin et sont protégées selon les normes les plus strictes en matière de sécurité. Cela inclut des mesures telles que le chiffrement des données, la gestion des accès et des autorisations, ainsi que des procédures de sauvegarde robustes pour garantir l’intégrité et la disponibilité des informations médicales.

Pour les patients

Les patients peuvent être rassurés de savoir que leurs données sensibles sont entre de bonnes mains. Grâce à la certification HDS, les patients ont une meilleure compréhension de la manière dont leurs données sont gérées et sécurisées. Les hébergeurs certifiés sont tenus de mettre en place des politiques et des procédures transparentes, ce qui permet aux patients d’avoir une visibilité accrue sur le traitement de leurs informations médicales.

Quelle est la durée de validité de la certification HDS ?

La certification HDS est valide pour une période de 3 ans à compter de la date de délivrance.

Attention toutefois : cette certification n’est pas statique. Un audit de surveillance est effectué chaque année par l’organisme certificateur afin de vérifier le respect continu des exigences du référentiel.

Si des non-conformités sont identifiées lors de ces audits, l’hébergeur doit alors mettre en place des actions correctives pour maintenir sa certification. À l’issue des trois ans, un nouvel audit complet est nécessaire pour le renouvellement de la certification.

Quelles sont les informations concernées par la certification HDS ?

La certification HDS englobe toutes les données de santé à caractère personnel et tous les équipements / logiciels sur lesquels ils sont stockés.

Il s’agit d’informations liées à la santé physique ou mentale d’une personne, collectées au cours d’activités de prévention, de diagnostic, de soins ou de suivi social ou médicosocial.

Voici quelques exemples de données :

• nom ;
• date de naissance ;
• numéro de sécurité sociale ;
• antécédents médicaux ;
• résultats de tests de laboratoire ;
• images médicales ;
• résultats d’examens ;
• diagnostics ;
• traitements ;
• prescriptions ;
• mensurations ;
• poids ;
• etc.

Toutes ces informations, lorsqu’elles sont hébergées sur un support numérique, sont soumises à la certification HDS. Il convient de noter que les données de santé à caractère personnel sont particulièrement sensibles, leur confidentialité est rigoureusement encadrée.

Comment vérifier qu’un prestataire ait bien la certification HDS ?

Pour vérifier si un prestataire dispose de la certification Hébergeur de Données de Santé (HDS), vous avez différentes options.

Demander le numéro de certification et le nom de l’organisme certificateur

Vous pouvez demander à votre hébergeur potentiel, des informations sur leur certification HDS, y compris le numéro de certification et l’organisme certificateur. Cela vous permettra de confirmer la validité de leur certification et de vous assurer qu’ils répondent bien aux normes de sécurité et de confidentialité exigées pour la gestion des données de santé.

Vérifier la présence du logo HDS

Le logo HDS est délivré par l’organisme certificateur après avoir passé avec succès l’audit de certification HDS. Il est important de vérifier que le logo est authentique en le comparant aux exemples fournis par l’organisme certificateur ou en consultant leur site web officiel. Vous pouvez rechercher la présence du logo officiel de la certification HDS sur le site web de l’hébergeur. Ce logo est généralement accompagné d’informations sur la validité de la certification et sur les activités certifiées.

Consulter la liste des hébergeurs certifiés

Pour vérifier si un prestataire détient la certification HDS, vous pouvez également consulter la liste des hébergeurs certifiés sur le site de l’Agence du Numérique en Santé ou sur le site de l’organisme certificateur. Il faut être vigilant car un prestataire qui prétend être certifié HDS mais qui ne figure pas sur ces listes peut être dans l’illégalité.