En route pour la certification « Hébergement de données de santé »

La période de consultation des autres États membres s’étant terminée le 23 octobre, le décret notifié à la Commission européenne relatif à l’hébergement de données de santé à caractère personnel est désormais prêt à être adopté.

Sans surprise, le projet de décret vient préciser les orientations de l’ordonnance du 12 janvier 2017 modifiant le code de la santé publique qui entrera en vigueur le 1^er janvier 2018. À noter : ce calendrier est ambitieux puisque la date butoir avait été fixée au 1^er janvier 2019 par cette ordonnance ().

Dès 2018, les professionnels et établissements de santé souhaitant confier à un tiers les données qu’ils recueillent à l’occasion de leurs activités de prévention, de diagnostic, de soins et de suivi social ou médico-social pourront donc faire appel à des hébergeurs certifiés « Hébergement de données de santé ». 

La transition vers la certification HDS

Si les hébergeurs les mieux préparés pourront obtenir leur certification HDS dès le premier semestre 2018, un délai de mise en conformité est prévu pour les autres. En particulier, les agréments délivrés avant le 1^er janvier 2018 ou à la suite d’une demande d’agrément déposée en 2017 resteront valides jusqu’à leur échéance. L’obligation pour les hébergeurs d’obtenir la certification HDS s’échelonnera donc jusqu’en 2021. Néanmoins, la certification HDS renforçant les exigences de sécurité des données, nul doute que les hébergeurs anticiperont l’échéance d’un agrément qui aurait été renouvelé en 2017.

Pour prévenir le risque d’un engorgement début 2018, un délai supplémentaire de six mois est accordé aux hébergeurs dont l’agrément viendrait à échéance au cours de l’année 2018. Un arrêté ministériel viendra entériner le référentiel de certification et les conditions spécifiques d’accréditation des organismes de certification. Toutefois, les différents métiers de l’hébergement concernés par la réglementation (infrastructure physique/infogérance) et la composition du référentiel (ISO 27001, ISO 20000-1, ISO 27018 et ISO 27017, complétés d’exigences spécifiques) sont d’ores et déjà connus : il ne reste plus qu’à se préparer.

Comment se préparer ?

AFNOR Certification* propose aux hébergeurs de données de santé d’obtenir la certification HDS par étapes progressives. Les candidats ont tout intérêt à commencer par obtenir au plus tôt une certification ISO 27001 dont le périmètre inclut l’hébergement de données. La marche à franchir pour l’obtention de la certification HDS est alors nettement réduite et le premier audit HDS est simplement combiné à l’audit annuel de surveillance de la certification ISO 27001.

Et pour accompagner les hébergeurs concernés vers la certification HDS, une visite d’évaluation HDS peut également être envisagée. La visite d’évaluation, conduite par un auditeur qualifié, se réalise en amont de l’audit de certification. C’est un excellent outil pour pouvoir identifier ses forces et les axes d’amélioration à développer.

*AFNOR Certification, leader français de la certification, est accréditée par le Cofrac pour la certification des systèmes de management de la sécurité de l’information selon la norme NF ISO/IEC 27001:2013 et conformément à la norme ISO/IEC 27006:2015 (exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information).

Crédits photos : Adobe Stock, adam121, jijomathai