Hébergement de Données de Santé : pourquoi la certification HDS est devenue incontournable

La certification HDS est un dispositif réglementaire français mis en place en 2018 pour encadrer la sécurité de l'hébergement des données de santé à caractère personnel.
Elle s'applique à tout prestataire qui héberge ou traite ces données pour le compte de tiers (établissements de santé, éditeurs de logiciels, laboratoires, mutuelles, etc...). Cette certification vise à garantir un haut niveau de protection des données médicales, face aux risques croissants de fuites, d'intrusions ou d'attaques informatiques.

Le périmètre couvert par la certification s'étend sur six domaines :

• Mise à disposition et maintien en condition opérationnelle de locaux
• Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle
• Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement
• Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle
• Administration et exploitation du système d’information contenant des données de santé
• Sauvegarde de données de santé

Elle repose sur la norme ISO 27001, complétée par un référentiel spécifique publié par l'Agence du Numérique en Santé (ANS).
L'objectif principal est de répondre à un besoin croissant de confiance, de conformité réglementaire, et de sécurité opérationnelle dans un secteur où la confidentialité des données est critique.

Pourquoi la certification HDS est-elle devenue incontournable ?

Le développement massif du numérique dans les domaines médicaux a transformé la façon dont les données de santé sont stockées, partagées et traitées.
Dossiers patients en ligne, plateformes de téléconsultation, objets connectés, outils de gestion pour les établissements : tout ou presque transite désormais par le cloud ou des serveurs externes.

Ces données, extrêmement sensibles, sont particulièrement convoitées par les cybercriminels. En parallèle, les attentes des patients en matière de confidentialité ont été renforcées, tout comme les exigences réglementaires imposées aux prestataires traitant ces données.

Face à ces enjeux, la France a mis en place un cadre précis : toute entreprise hébergeant des données de santé à caractère personnel pour le compte de tiers doit être certifiée HDS.

Qui est concerné ?

La règle est simple : si vous hébergez, administrez, sauvegardez, ou proposez un service traitant des données de santé pour le compte de clients tiers, vous êtes concerné.
En cas de délocalisation ou de recours à un prestataire de services établi à l’étranger, le donneur d’ordre français demeure pleinement responsable de la conformité aux exigences de la certification HDS, notamment en ce qui concerne le respect des obligations imposées au sous-traitant.

Sont concernés :

• Les hébergeurs cloud (Iaas, Paas, Saas) intervenant dans le domaine de la santé
• Les éditeurs de logiciels de type SaaS destinés aux professionnels médicaux
• Les infogéreurs ou prestataires IT ayant accès à ces données
• Les plateformes de prise de rendez-vous, de téléconsultation ou de gestion des dossiers médicaux

En revanche, les établissements de santé hébergeant leurs propres données en interne ne sont pas soumis à la certification, mais ils doivent tout de même appliquer les exigences liées au RGPD.

Comment se mettre en conformité ?

La certification HDS repose sur une évaluation de conformité au référentiel officiel défini par l’Agence du Numérique en Santé (ANS)
En général, tout organisme voulant obtenir sa certification HDS passe par ces étapes:

• Mettre en place un Système de Management de la Sécurité de l’Information (SMSI)
• Réaliser un pré-audit de mise en conformité (gap analysis) par rapport au référentiel HDS
• Déposer un dossier auprès d'un organisme accrédité, par le COFRAC ou équivalent
• Réaliser un audit documentaire sur l’ensemble de la documentation relative au système d’information du candidat. Cette revue permet de vérifier si les procédures, politiques et mesures de sécurité décrites sont conformes aux exigences du référentiel
• Réaliser un audit sur site afin de valider concrètement l’application des mesures de sécurité et des processus déclarés

L'organisme audité dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. Passé ce délai, toute la procédure d’audit sur site sera de nouveau réalisée.

Une fois obtenue, la certification HDS est valable pour une durée de trois ans. Des audits de surveillance annuels sont prévus afin de s’assurer que le niveau de conformité est maintenu dans le temps.

Quels sont les risques en cas de non-conformité ?

Outre le risque juridique – l'ANS peut interdire à un prestataire non certifié de continuer son activité – les sanctions suivantes peuvent également être appliquées par :

• Les clients via la rupture du contrat qui exigeait la certification HDS dans leurs appels d'offres
• Les assureurs ou partenaires financiers qui se désistent par manque de confiance
• La CNIL en cas de violation de données avec des amendes allant jusqu'à 4% du chiffre d'affaire mondiale

Sans oublier les conséquences en matière d'image : dans un secteur où la confiance est primordiale, un incident ou une non-conformité peut rapidement ternir la réputation d'un acteur.

Conclusion :

La certification HDS est bien plus qu'un label, c'est une exigence réglementaire, un avantage concurrentiel, un gage de sérieux face aux acteurs de la santé.
Si votre activité touche de près ou de loin à l'hébergement ou au traitement de données médicales pour autrui, il est essentiel de vous poser la question : Suis-je réellement conforme ?