Pourquoi est-il question de certification quand on parle de l’hébergement des données de santé ? Parce que comme nous allons le voir, le niveau de criticité de telles données est tel que leur protection demande une procédure agréée par les experts de l’informatique et de la législation.
Les données de santé sont des données sensibles
Rappelons en premier lieu que les données de santé sont des données à caractère personnel et de ce fait, leur utilisation doivent se faire dans un cadre légal prévu pour protéger les droits de l’individu. Les données de santé sont en effet un ensemble d’informations portant sur la santé physique ou mentale d’une personne physique et délivré par cette dernière afin de bénéficier de services de soin ou automatiquement collecté lors de la réalisation de tests ou d’une procédure médicale. La loi les protège et il appartient au législateur de déterminer si des données en font partie ou non, car la notion s’est élargie au fil du temps. En tout cas, en font partie l’information sur le handicap, l’information sur un taux d’invalidité ainsi que le codage CCAM (Classification Commune des Actes Médicaux). La mesure de protection s’étend jusqu’à la sécurisation de l’hébergement des données de santé dans les différents types de serveurs.
L’hébergement des données de santé ou HDS
Il y a en France une autorité qui se charge de protéger les données personnelles comme les données de santé : la CNIL. Au niveau européen, c’est le RGPD (Règlement Général sur la Protection des Données). La quantité sans cesse croissante de ces informations qui aujourd’hui voyagent à travers le Web via des supports dont notamment le Cloud, requiert un endroit de stockage physique et informatique pouvant garantir en permanence leur sécurité. L’objectif étant de protéger à la fois la confidentialité des informations relatives aux patients et aux personnels de santé, la réglementation définit les conditions et les modalités d’hébergement de ces données dans les supports numériques prévus à cet effet. Auparavant, l’hébergement était simplement conditionné par un agrément, mais aujourd’hui, il exige une certification.
À propos de la certification HDS
La réglementation est claire à ce sujet : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ». Pour qu’un hébergeur obtienne la certification pour l’hébergement de données de santé sur support numérique, il doit à priori être détenteur de la certification ISO27001. Il doit ensuite démontrer sa capacité à protéger ces données depuis leur stockage jusqu’à leur traitement. La demande de certificat HDS est à déposer auprès d’un quelconque organisme de certification ayant accompli les démarches d’accréditation auprès du COFRAC.
La certification HDS est la procédure qui remplace l’agrément donnant à un hébergeur l’autorisation de gérer des données personnelles de santé. Elle se veut plus sûre en matière de sécurisation des données sensibles liées à la e-santé et n’est accordée qu’à un hébergeur sûr, spécialiste entre autres du management de la sécurité des applications et des plateformes en cloud.