L’Hébergement de Données de Santé : qu’est-ce que c’est et comment ça marche ?

21 mars 2023
L’Hébergement de Données de Santé : qu’est-ce que c’est et comment ça marche ?

HDS ? Hébergement de données de santé ? Certification HDS ? Qu’est-ce que c’est et à quoi ça sert ?

Si vous vous posez ces questions, sachez que nous aussi chez Scalingo, on se les est posées avant de devenir le premier PaaS français et européen à être certifié ISO 27001 et HDS !

Dans cet article, nous allons vous expliquer tout ce que vous devez savoir sur la certification Hébergeur Données de Santé (HDS), et vous partager notre expérience concernant le processus qui a donné lieu à l’obtention de cette certification pour Scalingo.

HDS - Hébergeur données de Santé, qu'est ce que c'est ?

Qu’est ce qu’une donnée de santé?

Il est d’abord essentiel de comprendre de quoi il s’agit lorsqu’on parle d’une donnée de santé.

Pour cela, on peut se référer à la CNIL (Commission nationale de l'informatique et des libertés), et plus précisément au règlement européen sur la protection des données personnelles (RGPD), qui est entré en application le 25 mai 2018.

Dans ce règlement, il est défini qu’une donnée à caractère personnel concernant la santé est un type de donnée qui est relatif à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.

En d’autres mots, cela englobe les données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

Cela peut être les résultats d’un examen médical, des informations sur la maladie ou l’état de santé d’une personne, etc.

Qu’est-ce que la certification HDS ?

HDS, acronyme pour “Hébergeur de Données de Santé", est une certification française établie par l’Agence du Numérique en Santé (ANS), sur la protection de la confidentialité des données personnelles, particulièrement des données de santé.

Les données de santé sont considérées comme des données sensibles et requièrent une attention particulière de la part des organismes qui en traitent. Son hébergement implique donc des responsabilités considérables, et il est nécessaire pour ces organismes de prendre cela en compte lors du choix de leur prestataire.

C’est dans cette optique que l’Agence du Numérique en Santé (ANS) a mis en place la certification HDS pour assurer le renforcement de la protection des données de santé à caractère personnel.

"Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet."

L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016

L’hébergement de ces données sont donc encadrés par la loi (c.f. L.1111-8 du code de la santé publique). La certification HDS autorise légalement l’hébergement des données de santé, et garantit ainsi que la plateforme d’hébergement maintient une qualité et continuité de service suffisamment élevées pour cette activité.

En ce sens, l’obtention de la certification Hébergeur de Données de Santé pour Scalingo était donc un objectif important qui va permettre à de nombreuses entreprises d’accéder à un hébergement HDS tout en profitant du format PaaS qui leur facilite leur travail de tous les jours.

Cette certification permet ainsi à Scalingo de proposer un hébergement en PaaS adapté pour les acteurs en e-santé, qui assure une sécurité optimisée pour les données de santé, et le tout sur des datacenters situés en France.

Dans la partie suivante, nous allons vous expliquer comment chez Scalingo, on s’y est pris pour devenir le premier PaaS français certifié HDS, et vous détailler la procédure nécessaire pour son obtention.

Quelle est la procédure de certification HDS ?

Le processus pour l’obtention de la certification HDS peut être résumé par les étapes mentionnées dans le graphique suivant

1e étape : référentiel de certification et dépôt du dossier

Dans un premier temps, un dossier est déposé auprès d’un organisme accrédité par le COFRAC (Comité Français d’Accréditation) ou un équivalent.

Le COFRAC est une association qui a pour rôle de délivrer les accréditations nécessaires aux organismes intervenant dans l'évaluation de la conformité en France.

Cette procédure repose ainsi sur une évaluation par l’organisme de la conformité au référentiel de certification, en l’occurrence dans notre cas nous sommes passés par l’accréditation COFRAC du LNE (Laboratoire National de métrologie et d'Essais).

Le référentiel d’hébergement de données de santé est donc un document qui définit l’ensemble des exigences à l’obtention de la certification, parmi elles, un des pré-requis est l’obtention de la certification ISO 27001 ou un équivalent.

2e étape : Les audits

Suite au dépôt du dossier, l’organisme accréditeur procède à une phase d’audits qui se décompose en deux étapes principales.

La première est celle de l’audit documentaire, qui consiste à la réalisation d’une analyse détaillée de la part de l’organisme certificateur sur le système d’information mis en place par l’hébergeur pour s’assurer de sa conformité vis-à-vis du référentiel HDS.

En d’autre termes, le candidat doit disposer d’un Système de Management de la Sécurité de l'Information (SMSI) au sein de son organisation, et ce système se doit de respecter les exigences établies par le référentiel HDS.

Le rôle de l’organisme accréditeur dans cet audit documentaire est alors de veiller à ce que ce système d’information corresponde au référentiel HDS.

Par la suite, la deuxième partie de la phase d’audit est déclenchée, et cette dernière va consister en un audit sur site relatif aux exigences du référentiel HDS.

Cet audit est mené directement sur le lieu de travail par l’auditeur, et celui-ci a pour objectif de vérifier que l’entreprise et ses pratiques sont conformes au référentiel.

À la fin de l’audit, un délai de 3 mois est accordé à l’hébergeur pour la correction des éventuelles non-conformités et pour faire auditer ces corrections.

“ 💡Bon à savoir : Le SMSI est un ensemble de politiques et de procédures qui définissent et garantissent un niveau de sécurité et un processus d’amélioration continue C’est d’ailleurs le cas pour toutes les normes ISO. Le Système de Management de la Sécurité de l'Information comprend une analyse de risque, l’établissement d’une politique de Mot de Passe, une politique de Sauvegarde, une liste des algorithmes autorisés… ”

Le périmètre de la certification HDS

La certification HDS comporte une notion de périmètre qui va être défini selon le type de l’activité que l’hébergeur mène.

Dans le cadre de la certification, on distingue deux types d’hébergeurs de données de santé : Les hébergeurs d’infrastructure physiques, et les hébergeurs infogéreurs.

Dans le cas de Scalingo, il s’agit de la catégorie des hébergeurs infogéreurs.

Quelles sont les différences ?

La catégorie d’hébergeur d’infrastructure physique va être déterminé par deux activités principales :

  • La mise à disposition ou maintien en condition opérationnelle de locaux permettant d’héberger l’infrastructure matérielle du système d’information de santé
  • La mise à disposition ou maintien en condition opérationnelle de l’infrastructure matérielle du système d’information de santé

Tandis que les hébergeurs infogéreurs sont déterminés par les activités suivantes :

  • La mise à disposition ou maintien en condition opérationnelle de la plateforme logicielle (systèmes d’exploitation, middleware, base de données) du système d’information de santé
  • La mise à disposition ou maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé
  • L’infogérance d’exploitation du système d’information de santé
  • La sauvegarde externalisée des données de santé

Ainsi, selon le type de l’hébergeur, les périmètres de certification vont varier, et la certification HDS peut porter que sur un périmètre précis.

À noter que le certificat délivré a une durée de validité de 3 ans, et qu’un audit de surveillance annuel est effectué par l’organisme certificateur.

Quel périmètre pour la certification HDS de Scalingo ?

Dans le cadre de Scalingo, le PaaS est certifié HDS pour l’ensemble des activités (donc les 6 niveaux/périmètres de la certification Hébergeur de données de Santé citées précédemment et fait donc figure d’exception dans le paysage du Cloud en France.

Le PaaS Scalingo est donc certifié pour l’ensemble des activités d’Hébergeur de données de Santé (niveaux 1 à 6) :

  1. Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;

  2. Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;

  3. Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;

  4. Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;

  5. Administration et exploitation du système d’information contenant les données de santé ;

  6. Sauvegardes externalisées des données de santé.

“ 💡 Bon à savoir : L’utilisation d’un hébergeur certifié HDS est obligatoire en France pour les activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. ”

Comment Scalingo est devenu certifié HDS et ISO 27001

Chez Scalingo, le processus de certification fait partie de notre stratégie depuis un plusieurs années, et nous sommes fiers d’être devenus le premier PaaS français et européen à obtenir les certifications ISO 27001 et HDS.

Pour y parvenir, nous sommes évidemment passés par le processus de certification mentionné dans cet article. Cela a nécessité une longue préparation et un investissement humain et financier considérable sur plusieurs années.

Cette préparation s’est faite en passant par l’assimilation de l’ensemble du référentiel HDS et ISO 27001, mais aussi par la mise en place des actions nécessaires pour s’y conformer.

Une mobilisation de toutes les équipes à été nécessaire pour atteindre cette conformité. En tant que structure, nous avons opéré des changements dans notre fonctionnement interne.

Yannick Jost, notre “Responsable Sécurité et Conformité” et faisant partie de notre équipe InfoSec, était à la tête du projet. Ce dernier a rejoint l’entreprise en 2020, et avait pour mission l’obtention de ces certifications.

Pour en savoir plus sur le processus de certifications HDS et ISO 27001 chez Scalingo, nous vous invitons à consulter l’article écrit par notre RSSI, dans lequel il témoigne de l’aventure vécue vers la conformité et sur ce qu’il a été nécessaire de mettre en place pour accomplir cette mission.

“ 💡Bon à savoir : Les exigences pour devenir certifié HDS englobent également les exigences pour être certifié ISO 27001 en plus d’autres dispositions réglementaires nécessaires pour l’obtention de la certification HDS comme la continuité de services, l’engagement au niveau du service (indicateur + mesures à l’appui) mais aussi l’ajout d’un contact professionnel de santé ainsi que des obligations contractuelles de la part des clients, notamment le respect de la PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé). L’ANS propose une auto-évaluation aux exigences requises par le Numérique en Santé et il est essentiel de se faire accompagner dans cette démarche. ”

En conclusion

Vous l’avez compris à la lecture de cet article, la certification HDS atteste d’un niveau de sécurité de l’information qui permet d’héberger et de traiter des données de santé considérées comme étant des informations sensibles.

La certification permet donc d’assurer qu’un hébergeur est conforme aux exigences de sécurité liées au référentiel HDS établi par l’Agence du Numérique en Santé. Les organismes certificateurs accrédités par le COFRAC délivrent la certification et veillent à ce que les hébergeurs continuent de prendre les mesures nécessaires pour être conformes à ce référentiel.

C’est chose faite pour Scalingo qui a obtenu les certifications ISO 27001 et HDS en septembre 2022, devenant le premier Platform-as-a-Service certifié Hébergeur de Données de Santé en France!

Vous êtes curieux de découvrir Scalingo et vous voulez en savoir plus ? Programmez une démo avec nous !

Partager l'article
Omar Jeridi
Omar Jeridi
Omar est un Junior Marketing Manager chez Scalingo. Il est passioné par les nouvelles technologies et la finance décentralisée.
Lire les autres articles de l'auteur
#Certification HDS #Certification ISO 27001 #HealthDataHosting

Ces articles pourraient vous intéresser

Voir plus d'articles
La sécurité des applications chez Scalingo #1 : Asgard
Article
• 10 minutes de lecture
La sécurité des applications chez Scalingo #1 : Asgard
Lire l'article
Nouveau sur Scalingo : Redis 7
• 3 minutes de lecture
Nouveau sur Scalingo : Redis 7
Lire l'article
Guide pour déployer Keycloak sur Scalingo
Article
• 10 minutes de lecture
Guide pour déployer Keycloak sur Scalingo
Lire l'article
Scalingo, premier PaaS français et européen certifié ISO 27001 et HDS
Article
• 5 minutes de lecture
Scalingo, premier PaaS français et européen certifié ISO 27001 et HDS
Lire l'article
Life at Scalingo #3 : Rituels des équipes en remote
• 15 minutes de lecture
Life at Scalingo #3 : Rituels des équipes en remote
Lire l'article

Essayez gratuitement Scalingo

Demandez une démo
30 jours d'essai gratuit / Pas de CB nécessaire / Hébergé en France