Certification HDS : plus qu'une nécessité
Gage de sécurité et de conformité, la certification HDS assure que les fournisseurs de solutions hébergeant des données de santé respectent des normes strictes pour protéger les informations sensibles. Cependant, l’usage de la mention “certifié HDS” peut être équivoque.Les entreprises et les professionnels traitant des données de santé (médecins libéraux, cabinets d’infirmiers, sages-femmes libérales, cabinets de radiologie, établissements de santé, etc.) doivent naviguer avec prudence dans un marché où la distinction entre offres réellement certifiées HDS et prétendues telles n'est pas toujours claire. Les risques juridiques liés à une mauvaise interprétation ou à une utilisation inappropriée de solutions non certifiées sont considérables. Le non-respect de la réglementation peut entraîner des sanctions financières, la responsabilité civile et pénale en cas de préjudice important, mais aussi des sanctions supplémentaires liées à la RGPD. Sans parler du risque d’interruption de service ou de fermeture forcée des services et ses conséquences !
Un exemple concret : un médecin utilisant Gmail pour des communications professionnelles et l’échange de données de santé (ordonnance, bilans…) s’expose à des sanctions de la part de la CNIL pour non respect des obligations réglementaires, d’autant plus dans le cas où les données échangées seraient l’objet de fuites. Google Cloud est bien certifié HDS, mais cela ne s'étend pas à tous les services de Google. En effet, la certification HDS est accordée à un service, une offre, un logiciel, ou un produit, et non à toutes les activités d’une entreprise. Les éditeurs de solutions sérieux le précisent d’ailleurs dans leur documentation ou leur site internet (ce que fait très bien Google d’ailleurs). La vigilance est donc de mise pour vérifier que les outils utilisés sont spécifiquement certifiés HDS et conformes, légalement parlant, pour y stocker des données de santé.
Des critères de conformité essentiels
La version actuelle de la certification HDS, alignée sur les normes ISO internationales(ISO 27001 notamment), est entrée en vigueur en 2018. L’Agence du Numérique en Santé (ANS), qui édite le référentiel HDS, a opté pour une certification moins stricte que SecNumCloud.
C’est une bonne chose dans le sens où cela rend la certification accessible à une pluralité d’acteurs, géants du cloud comme hébergeurs/éditeurs locaux. Tous valorisent cette certification pour des outils SaaS destinés au personnel médical, qui bénéficient de ce fait d’un éventail large de prestataires possibles. Ainsi, l’ANS indique que 284 acteurs disposent de la certification HDS en décembre 2023.
La certification HDS relève d’un processus d’audit très strict. En outre, elle se décompose en plusieurs niveaux - qui vont de l'infrastructure physique à la sauvegarde externalisée des données (voir encadré). C’est là que le diable se cache dans les détails : certains fournisseurs de solutions s’affichent comme certifiés HDS, simplement parce qu’ils recourent à un hébergeur certifié (niveau 1, 2, et éventuellement 3), alors qu’ils ne sont pas certifiés pour les niveaux supérieurs (infogérance et sauvegarde notamment).
Choix du prestataire HDS : points clés à vérifier
Lors du choix du prestataire, il est donc essentiel de vérifier les informations suivantes :- Certification sur toute la chaîne : Assurez-vous que le fournisseur est certifié HDS, et que toutes les couches sont couvertes, notamment les couches 4, 5 et 6. Ces couches 4, 5 et 6 se réfèrent à des aspects spécifiques du traitement et de la gestion des données de santé : l’infogérance des infrastructures virtuelles, l’exploitation et l'administration des applications et la sauvegarde des données. Si toutes les couches ne sont pas couvertes, vérifier que les sous-traitants (notamment hébergeur) sont certifiés. A noter: lors de votre passage chez un fournisseur certifié HDS, vérifiez que vous prenez bien la partie de l’offre qui est certifiée en le faisant noter précisément sur votre contrat.
- Références ANS* VS Certification HDS : Veillez à ne pas confondre solutions référencées ANS et solutions certifiées HDS. L’ANS a en effet référencé un certain nombre de solutions dans le cadre du Ségur Numérique. Elles répondent à des critères de qualité, de sécurité et d'interopérabilité des systèmes d'information de santé. Ce référencement est distinct de la certification HDS, qui concerne spécifiquement les services d’hébergement de données. Une solution référencée par l'Agence Numérique en Santé (ANS) n'est pas automatiquement certifiée HDS, et vice versa.
HDS : 6 niveaux de certification
Les différents niveaux de certification HDS portent sur la mise à disposition et de maintien en condition opérationnelle.
|
Par Bertrand Servary, CEO de NetExplorer