Certification HDS : 3 points clés à retenir
- La certification HDS est une obligation légale pour toute organisation hébergeant des données de santé
- Elle garantit le respect strict des normes de sécurité et de confidentialité des données de santé
- L’obtention de la norme implique une évaluation initiale et un audit de conformité approfondi
Dans l’industrie de la santé, la protection des données est primordiale en raison des enjeux éthiques et de la confidentialité des informations médicales. Ces données sensibles circulent entre professionnels, prestataires et partenaires, et doivent être strictement protégées. Pour répondre à ces exigences, la Certification Hébergeur de Données de Santé (HDS) s’impose comme un pilier essentiel, garantissant la conformité aux réglementations en vigueur et assurant une sécurité optimale des données de santé.
Qu’est-ce que la certification HDS ?
La certification HDS (Hébergeurs de données de santé) est une norme française qui atteste de la capacité d’un hébergeur à garantir la sécurité, l’intégrité et la confidentialité des données de santé hébergées.
Elle s’adresse à toute organisation qui stocke ou traite des informations médicales à caractère personnel, comme les établissements de santé, les éditeurs de logiciels médicaux ou les prestataires de services cloud.
Obligatoire en France, la norme HDS remplace l’ancien agrément HADS et s’appuie sur la norme ISO 27001 pour assurer une conformité renforcée et un cadre structuré de gestion des risques.
Qui est concerné par la certification HDS ?
La certification HDS concerne tous les acteurs qui hébergent des données de santé à caractère personnel, exploitent un système d’information de santé, ou s’occupent de stocker et/ou de sauvegarder des données de ce type pour le compte d’un tiers. La certification des hébergeurs de données de santé est donc une obligation légale.
La loi française impose aux établissements de santé et médico-sociaux (hôpitaux, cliniques, laboratoires, pharmacies, entreprises pharmaceutiques, maisons de santé, EHPAD, …) ainsi qu’aux professionnels (médecins, infirmier·ères, radiologues, …) qui gèrent des données sensibles d’avoir recours aux services d’un fournisseur Cloud offrant toutes les garanties de sécurité nécessaires – autrement dit, un prestataire certifié HDS, (Code de la Santé Publique, article L1111-8).
Le prestataire de services Cloud s’attache ainsi à respecter les exigences réglementaires pour le compte de son client. Plus particulièrement, la certification HDS concerne plusieurs activités, classées dans deux catégories :
- Pour l’hébergeur d’infrastructure physique : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information employé pour réaliser le traitement des données de santé, ou des sites physiques (datacenters) qui hébergent l’infrastructure matérielle utilisée dans le même but.
- Pour l’hébergeur en infogérance : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle ou de la plateforme d’hébergement d’applications du système d’information ; la gestion et l’exploitation du système d’information ; et la sauvegarde des données de santé.
Comment obtenir la certification HDS ?
La certification HDS peut être considérée comme une « surcouche » de la norme ISO 27001 sur la sécurité des systèmes d’information. Un organisme qui ambitionne d’être certifié HDS doit donc, d’abord, obtenir la certification ISO 27001 en validant chacun des prérequis nécessaires.
La collaboration souveraine
Découvrez notre solution de collaboration sécurisée, hébergée en France et certifiée HDS.
Par la suite, la norme HDS est essentiellement contractuelle : elle définit un certain nombre d’engagements à prendre avec les clients et les partenaires. Son obtention nécessite toutefois de présenter un grand nombre de preuves relatives à la sécurité des procédures de traitement des données de santé. Ces preuves concernent :
- le système informatique (mise à disposition et maintien en condition opérationnelle de l’infrastructure physique ou virtuelle, sauvegarde des données, etc.),
- le matériel (présence d’une déchiqueteuse sur le bureau pour détruire les documents),
- les processus internes (onboarding, politique de sécurité, procédure de gestion des incidents, etc.).
Une entité qui souhaite obtenir la certification 27001, puis la certification HDS, doit donc passer un audit pour chaque étape. Le processus peut prendre jusqu’à deux ans.
Si les prestataires de services d’hébergement devaient auparavant obtenir un agrément pour devenir hébergeurs de données de santé, c’est désormais le certificat HDS qui prévaut. Elle est délivrée par un organisme certificateur accrédité par le COFRAC (Comité Français d’Accréditation). Le certificat est valable pour une durée de 3 ans et un audit est effectué tous les ans afin de vérifier la conformité.
La certification HDS : un gage de confiance pour les professionnels de santé
En somme, le référentiel HDS est un gage de confiance pour l’ensemble des acteurs du secteur de la santé et du secteur médico-social, qu’il s’agisse des établissements publics et privés ou des professionnels libéraux.
Dans un contexte de risque accru, la mise en valeur des fournisseurs de services Cloud certifiés HDS permet aux professionnels de santé d’identifier aisément les entités capables de répondre aux exigences réglementaires autant qu’aux attentes de leurs patients.