Alors que le volume de données de santé croit de manière exponentielle et que le niveau de cybermenace augmente, la protection de la vie privée des patients est au cœur des préoccupations. Avec des risques en termes de confidentialité, pour la santé des patients mais aussi pour la pérennité des établissements de santé, la sécurité de ces données sensibles devient une priorité absolue, nécessitant des solutions d’hébergement robustes et conformes à des règlementations de plus en plus exigeantes.
Il y a aujourd’hui plus de 270 hébergeurs certifiés HDS, « Hébergeur de Données de Santé », dans l’annuaire de l’Agence du Numérique en Santé (ANS). René Fuhrmann, Responsable du Pôle d’Expertise Santé chez adista, opérateur cloud, connectivité et cybersécurité, livre quelques clés de compréhension de la certification HDS et de ses différents niveaux, ainsi que 5 conseils pratiques pour faire un choix éclairé pour son hébergement HDS.
Un contexte réglementaire qui évolue avec les enjeux des données de santé
Depuis 2018, le RGDP (Règlement Général sur la Protection des Données) et la loi française Informatique et Libertés régissent la protection des données personnelles, notamment de santé. Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social doit être agréée ou certifiée à cet effet. Cela inclut les établissements de santé, les Établissements et Services Sociaux et Médico-Sociaux (ESSMS), ainsi que les assureurs et industriels de la santé. Ces acteurs de la santé ont des obligations en matière de gestion, traitement et hébergement des données de santé numériques. Ils sont notamment tenus de faire appel à des prestataires d’hébergement certifiés HDS.
Un hébergeur de données de santé (HDS) est une entité qui stocke et gère les données de santé pour le compte de tiers. Il peut s’agir d’un établissement de santé, d’un professionnel de santé, d’un assureur, d’un industriel du secteur de la santé, etc. Un hébergeur certifié HDS est indispensable pour plusieurs raisons. Tout d’abord, la certification HDS est une garantie que l’hébergeur respecte les normes et réglementations en vigueur en matière de sécurité et de confidentialité des données de santé. Ensuite, elle assure que l’hébergeur dispose des compétences et des moyens nécessaires pour assurer la protection des données de santé. Enfin, elle permet aux professionnels de santé de se conformer à leurs obligations légales en matière de protection des données de santé.
La certification HDS : le label de confiance en matière de données de santé
La certification HDS a pour vocation de renforcer la protection des données de santé à caractère personnel et de bâtir un environnement de confiance autour de l’e-santé et du suivi des patients. Elle comprend six niveaux, chacun correspondant à un degré de sécurité et de conformité différents. Ces niveaux, répartis en deux catégories, vont de 1 à 6 : le niveau 1 étant le plus bas et le niveau 6 le plus élevé.
La première catégorie, qui comprend les niveaux 1 et 2, correspond aux hébergeurs d’infrastructures physiques. Elle concerne les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle utilisés pour le traitement des données de santé, ainsi que le maintien en conditions opérationnelles de ceux-ci. La seconde catégorie, qui comprend les niveaux 3 à 6, correspond aux hébergeurs infogéreurs. Elle concerne les activités de mise à disposition et maintien en conditions opérationnelles d’infrastructures virtuelles, de plateforme logicielle, les activités d’administration et d’exploitation du système d’information de santé ainsi que la sauvegarde externalisée. Un hébergeur certifié sur les six niveaux offre la garantie d’une sécurité maximale.
Le sceau HDS est obtenu à l’issue d’une procédure de certification exigeante, menée par un organisme certificateur accrédité, et délivré pour une durée de 3 ans avec des audits de surveillance annuels. Si l’activité de l’hébergeur s’inscrit dans les deux types d’activité, il doit obtenir les deux certifications. La certification HDS est une surcouche de la norme ISO 27001, norme internationale de sécurité des systèmes d’information.
5 éléments déterminants dans le choix d’un hébergeur de données de santé
Le choix d’un hébergeur de données de santé est une décision importante qui doit être prise avec soin. Voici 5 critères incontournables à prendre en compte dans le choix de son hébergeur HDS.
Une approche à 360° de la donnée de santé : La performance et l’administration des flux de données sont des facteurs décisifs pour la qualité et la continuité des soins. Hyper connectés et donc hyper exposés, les SI de santé sont aujourd’hui des cibles de choix pour les pirates. Les données de santé doivent être protégées et accessibles durant la totalité de leur cycle de vie, quel que soit l’endroit où elles se trouvent et la personne qui les manipule.
L’application rigoureuse et l’anticipation de la réglementation : Les obligations réglementaires qui pèsent sur les établissements de santé sont en évolution permanente. Preuve en est, les annonces récentes de l’ANS sur l’évolution du référentiel de certification des Hébergeurs de données de santé. Il est donc essentiel de s’appuyer sur un hébergeur qui, non seulement comprend ces obligations règlementaires, mais est aussi capable d’aider ses clients à rester informés et à anticiper la réglementation.
La souveraineté des données : Elle est un élément clé pour garantir la sécurité, la confidentialité et l’intégrité des données de santé. Un hébergement en propre sur le territoire français garantit que les données restent sous le contrôle de l’entité qui les a confiées à l’hébergeur et qu’elles ne sont pas transférées à l’étranger. Cela permet d’éviter les risques associés à la législation d’autres pays, les lois françaises en matière de protection des données étant parmi les plus strictes au monde.
L’approche RSE : Avec la prise de conscience croissante des enjeux de développement durable, et là aussi une réglementation de plus en plus exigeante, l’adoption d’une approche RSE dans le domaine de l’IT est non seulement une nécessité éthique et réglementaire, mais aussi un moyen pour les structures d’améliorer leur performance. Il est important de s’appuyer sur des prestataires qui vont aider les structures de santé à atteindre leurs objectifs en matière de responsabilité.
La compréhension des enjeux du monde de la santé et l’accompagnement de proximité : Face à la complexité croissante de leurs SI et la multiplication des applications métier, les structures de santé doivent trouver des réponses à leurs enjeux auprès d’un prestataire qui les comprenne. Plus qu’un hébergeur, elles ont besoin de s’appuyer sur un vrai partenaire de proximité au quotidien, qui ait la capacité d’accompagner la maitrise d’ouvrage et d’œuvre et assure un service client réactif.
adista : partenaire de confiance pour la santé numérique
La force d’adista réside dans la convergence de ses expertises en matière d’hébergement HDS, de connectivité et de cybersécurité. Nous connectons l’écosystème de santé, simplifions la gestion des SI de santé, accompagnons les structures dans leur stratégie de cyber-résilience (cybersécurité, sauvegardes et PRA), modernisons leurs applications clients et métiers, et vous aidons à tirer le meilleur parti de chaque modèle cloud. Nos 80 experts dédiés au monde de la santé accompagnent déjà plus de 1000 structures de santé et un SDIS sur 2 de bout en bout, afin qu’ils puissent se concentrer en toute sérénité sur leurs missions de soin et de secours.
adista délivre ses services à travers son propre backbone multi-opérateur et multi-technologie qui connecte ses 14 Datacenters français, efficients, éco-responsables et résilients, et plus d’une centaine de points de présence (PoP) nationaux et internationaux jusqu’à 100 Gb/s. Dans une vision résolument hybride et multicloud, la donnée du client est au cœur de son réseau, accessible avec la même qualité et la même performance applicative qu’elle soit dans vos infrastructures, dans un Datacenter adista, ou dans un Cloud public.
adista est également opérateur de Messagerie Sécurisée de Santé (MSSanté) l’espace de confiance pour la transmission confidentielle des données de santé entre professionnels.
L’entreprise est engagée de longue date dans une démarche RSE distinguée à plusieurs reprises (médaille d’argent EcoVadis, trophée du Grand Prix Hors Secteurs de la "Politique RSE" au 9ème Sommet des Entreprises de Croissance, prix RSE dans la catégorie « économie circulaire » des Trophées Top Tech ESN de l’Informaticien, trophée ESG du RDV ESN & ICT) et emmène le SI de ses clients dans cette même trajectoire pour les aider à répondre à leurs objectifs de résilience et de sobriété.
Pour en savoir plus : rendez-vous sur adista.fr
