Le sujet de la confidentialité et de la sécurité des données est un sujet au cœur de l’actualité, et ce pour de bonnes raisons : Les données personnelles de santé sont considérées comme sensibles.
Les conséquences liés à une fuite ou corruption de données pouvant être majeures, le monde de l’e-santé requiert un niveau de sécurité accrue.
Ainsi, pour protéger la vie privée des patients, il est primordial pour une entreprise de se conformer à la réglementation en vigueur pour adapter leur système de sécurité de l’information et garantir la confiance des utilisateurs.
C’est dans ce contexte que la certification d’Hébergeur de Données de Santé (HDS) entre en jeu. La certification HDS permet aux entreprises d’accéder à des hébergeurs de confiance qui sont conformes au référentiel de sécurité établi par la certification.
HDS et son cadre peuvent paraître complexes au premier abord, et l’importance du choix de l’hébergeur n'est parfois pas suffisamment mise en avant pour les projets concernés par l’hébergement de données de santé.
Mais pas d’inquiétude ! Dans cet article, vous découvrirez les particularités de la certification HDS et vous comprendrez les raisons pour lesquelles il est pertinent de faire appel à un hébergeur certifié HDS pour votre projet.
Avant de comprendre pourquoi il peut être pertinent de faire appel à un hébergeur HDS, il est essentiel de comprendre ce qu’est la certification et ce qu’elle implique.
HDS ou Hébergeur de Données de Santé est une certification française établie par l’Agence du Numérique en Santé (ANS). La certification HDS est nécessaire aux plateformes souhaitant héberger des données personnelles de santé.
La certification HDS est basée sur un référentiel qui encadre tous les devoirs et obligations des plateformes vis-a-vis de l’hébergement des données de santé. Elle délimite leur périmètre de certification et donc le type d’activité qu’un hébergeur peut exercer.
Pour en apprendre plus sur la certification HDS, sa procédure d’obtention et approfondir votre compréhension des périmètres de certification, nous vous invitons à consulter notre article détaillé sur le sujet de la procédure de certification HDS.
Il est aussi important de noter que l’hébergement des données de santé est encadré par la loi (c.f. L.1111-8 du code de la santé publique) et que les acteurs travaillant avec des données personnelles de santé ont l’obligation de s’y conformer.
La CNIL (Commission Nationale de l’Informatique et des Libertés) et plus précisément le règlement Européen sur la Protection des Données Personnelles (RGPD), définit les données de santé comme des « données à caractère personnel concernant la santé dont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »
Cela inclus donc toutes les données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.
La notion de données de santé proposée par la RGPD est intentionnellement large, car son appréciation doit se faire au cas par cas, selon la nature des données recueillies.
En effet, la CNIL établi dans le règlement trois catégories de données :
En revanche, il est important de noter que les données à partir desquelles aucune conséquence ne peut être tirée vis-à-vis de l’état de santé de la personne concernée n’entrent pas dans la notion de données de santé établies par la RGPD.
Une évaluation de la nature des données et de leur impact peut alors être menée pour qualifier ces données comme étant ou non des données de santé. Pour cela, il peut être pertinent de mener une analyse d’impact sur la protection des données (AIPD).
Maintenant que vous connaissez les rouages de la certification HDS et de la notion de données de santé, vous vous demandez ce qu’un hébergeur HDS peut concrètement vous apporter suivant votre situation ?
Suivez le guide !
Si vous êtes un ou une professionnelle dans le domaine de l’e-santé, vous êtes probablement directement impacté.e par la certification HDS.
En effet, si vous traitez des données de santé à caractère personnel, alors vous êtes dans l’obligation légale de faire appel à un hébergeur certifié Hébergeur de Données de Santé, comme précédemment mentionné dans l’article.
Vous l’avez compris, la sensibilité des données de santé implique des mesures de confidentialités et de sécurités plus élevées. La certification garantit que l’hébergeur est conforme aux exigences du référentiel HDS.
Dans la pratique, ces exigences vont se traduire de différentes manières, notamment pour celles qui sont liées à la continuité de service, par exemple.
La certification HDS implique d’assurer un niveau élevé de continuité de services et la disponibilité des ressources et données de santé. Dans le cas se Scalingo, on vous invite à consulter nos engagements de services pour connaître nos taux de disponibilité contractuels.
Ce niveau de continuité de service s’avère être à la fois essentiel dans un cadre médical où la disponibilité et l’accès ininterrompu aux données de santé sont cruciaux, mais aussi pour permettre au service hébergé d’offrir un niveau de service de qualité à ses utilisateurs.
On peut imaginer le cas où un professionnel de santé a besoin d’un accès immédiat aux données d’un patient dans une situation d’urgence, l’assurance d’une continuité de service élevée s’avère alors être critique.
Même au-delà des situations les plus rarissimes, on peut parler d'événements plus probables comme ceux qui impliquent une “perte de chance” pour l’utilisateur final du service.
La perte de chance est une notion juridique qui peut être présentée comme une situation de préjudice qui implique la privation d’un gain probable, ou bien de la survenance d’une perte qui aurait pu être évitée.
En d’autres termes et dans le cadre de l’e-santé, cela serait une situation qui priverait l’utilisateur final d’un résultat qui lui serait bénéfique.
Ce pourrait être le cas d’un patient qui souhaite prendre rendez-vous avec un professionnel de la santé, mais qui perd l’opportunité de réserver le créneau le plus proche à cause d’un problème technique du service. Résultat, le patient devra choisir un créneau plus éloigné, ce qui retarderait d’autant un diagnostic médical et pourrait avoir des conséquences sur sa santé.
Faire appel à un hébergeur fiable et de confiance pour assurer sa continuité de service est donc un enjeu essentiel.
Au-delà de l’accessibilité aux données, il existe d'autres processus qui permettent d’assurer leur confidentialité tout en mettant l’accent sur la sécurité de ces dernières. Ce processus est celui de l’anonymisation des données.
Pour la CNIL, l’anonymisation des données peut se définir comme le traitement qui permet, grâce à l’utilisation d’un ensemble de technique, de rendre impossible l’identification de la personne associée aux données par quelque moyen que ce soit, et de manière irréversible.
Dans le règlement général sur la protection des données (RGPD), l’anonymisation n’est pas obligatoire mais en revanche, présentée comme une solution qui permet l’exploitation des données personnelles dans le respect des droits et libertés des personnes concernées.
Ainsi, une donnée anonyme est une donnée qui rend impossible de remonter à l’individu auquel elle s’attache.
Il est d’ailleurs important de ne pas confondre anonymisation et pseudonymisation car ce sont deux concepts différents qui ont un enjeu différent.
Similaire à l’anonymisation, la pseudonymisation est un traitement des données qui a pour objectif de rendre l’individu qui y est rattaché non-identifiable.
En revanche, et à l’inverse de l’anonymisation, il est tout de même possible en pratique de retrouver l’identité des individus dans le cadre la pseudonymisation, grâce à un croisement avec des données tierces. Ce qui rend la pratique moins viable d’un point de vue de la cybersécurité des données.
On note toutefois que dans le cadre de la certification HDS, les données qui ont été complètement anonymisées ne constituent plus des données personnelles de santé, et ne sont donc plus soumises à la législation HDS.
Un des effets indirects de la certification HDS sur votre structure et plus précisément la perception de celle-ci auprès de patients / de vos utilisateurs finaux, c’est le renforcement de confiance dans l’utilisation de votre produit ou de vos services.
Une certification telle que HDS agit comme la validation d’une tierce partie démontrant que les pratiques de l’hébergeur en termes de sécurité de l’information sont à la hauteur des normes exigées.
L’utilisation d’un hébergeur certifié Hébergeur de Données de Santé comme Scalingo, devient alors, au-delà d’une garantie des bonnes pratiques de sécurité, une plus value pour les collaborateurs et l’utilisateur final.
Cela peut alors représenter un appui quant à la sécurité, la confiance et la transparence de votre structure dans le marché de l’e-santé.
Scalingo est le premier PaaS (Platform as a Service) certifié ISO 27001 et HDS en France et en Europe et nous sommes heureux de pouvoir apporter la puissance du PaaS au secteur de la santé.
Le PaaS Scalingo est certifié sur tous les (six) niveaux de périmètres définis par le référentiel HDS. Vous pouvez consulter le certificat et le détail du référentiel de certification Scalingo sur notre page dédiée à la certification HDS chez Scalingo.
L’évolution de nos processus de sécurité est une étape nécessaire pour devenir conforme aux exigences de sécurité de la certification. Chez Scalingo, cette progression se fait en continu.
Cela signifie entre autres que les membres de notre équipe sont régulièrement sensibilisés aux bonnes pratiques en terme de sécurité ce qui nous permet d’être attentifs aux risques liés à la cybersécurité.
Notre rôle est aujourd’hui de rendre le modèle de l’hébergement en PaaS accessible à tous les professionnels de l’e-santé, en simplifiant le quotidien de leurs développeurs.
Grâce aux déploiements rapides en un clic, au service support dédié et compétent, nous nous efforçons d’apporter une expérience d’un PaaS à l’état de l’art à nos utilisateurs, tout en mettant l’accent sur la sécurité et la confidentialité de leurs données.
L’obtention de la certification d’Hébergeur de Données de Santé pour le PaaS Scalingo représente ainsi pour nous l’opportunité de proposer nos services aux acteurs concernés tout en s’adaptant aux besoins du secteur.
Bon à savoir : Chez Scalingo, les structures et entreprises hébergeant des données de santé sont tenues de signer un contrat spécifique (l’annexe HDS des Conditions Générales de Service Scalingo) pour contractualiser les engagements réciproques. C’est une fois que cette annexe HDS est signée, que les engagements sont fixés.
Si vous n’êtes pas directement concernés par la certification HDS ou que vous n’êtes pas un acteur de l’e-santé, sachez que le choix d’un hébergeur certifié HDS peut toutefois vous être bénéfique.
Il nous paraît pertinent de mentionner que tout le PaaS Scalingo est certifié HDS, ce qui signifie que tous nos utilisateurs sont positivement impactés par les travail interne réalisé pour l’obtention de la certification, même s’ils n'hébergent aucune données de santé.
Cela représente l’opportunité d’opérer sur une plateforme cloud avec des mesures de sécurité adaptées à un niveau d’exigences élevé comme pour celui du domaine de la santé, et ce sans aucun coût supplémentaire, tout en bénéficiant du même niveau de service.
De plus, le choix d’un hébergeur certifié HDS peut représenter pour votre activité une potentielle opportunité d’étendre votre portée auprès d’acteurs du domaine de l’e-santé, en rendant plus facilitant les synergies à développer.
En plus d’HDS, Scalingo en tant qu’entreprise est aussi certifiée ISO 27001, ce qui assure la conformité aux exigences du système de la gestion de l’information défini par la norme.
Cette certification est reconnue mondialement en matière de système de management de la sécurité de l’information (SMSI).
Le sujet de la sécurité et de la confidentialité de l’information est une question pivot pour tout type d’organisation, et c’est d’autant plus vrai dans le domaine de la santé où les données sont considérées comme les plus sensibles.
Pour établir un standard et mettre en place des exigences en termes de sécurité pour les acteurs de l’e-santé, il existe des solutions comme la certification HDS, qui permet d’assurer la conformité des hébergeurs auprès de leurs utilisateurs.
Pour ces entreprises directement concernées par la certification, l’hébergeur certifié peut apporter un ensemble de bénéfices, crucial pour leur activité, notamment concernant la continuité de service et la sécurité des données.
Le renforcement de ces paramètres liés à la certification peut même être profitable aux utilisateurs qui ne sont pas directement soumis à l’obligation de recourir à un hébergeur certifié HDS.
Depuis septembre 2022, Scalingo est le premier PaaS français et européen à devenir certifié ISO 27001 et HDS et nous sommes fiers de pouvoir apporter la puissance du déploiement rapide d’application au domaine de la santé.
Vous êtes curieux de découvrir Scalingo et vous voulez en savoir plus ? Programmez une démo avec nous !
Chez Scalingo (avec nos partenaires), nous utilisons des traceurs sur notre site.
Certains, essentiels et fonctionnels, sont nécessaires au bon fonctionnement du site et ne peuvent pas être refusés.
D'autres sont utilisés pour mesurer notre audience, entretenir notre relation avec vous et vous adresser de temps à autre du contenu qualitatif ainsi que de la publicité.