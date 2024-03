Certification HDS : gare aux faux semblants !

mars 2024 par Bertrand Servary, PDG de NetExplorer

Dans un univers de plus en plus numérisé, la certification HDS (Hébergement de Données de Santé) s’avère incontournable pour la sécurité et la conformité des données de santé. Cependant, l’existence de solutions prétendument certifiées HDS, sans l’être véritablement, crée des risques et brouille les repères. Cette situation expose les données de santé à des vulnérabilités et soulève d’importantes questions de conformité légale pour les utilisateurs de ces solutions. Regardons de plus près.

Certification HDS : plus qu’une nécessité

Gage de sécurité et de conformité, la certification HDS assure que les fournisseurs de solutions hébergeant des données de santé respectent des normes strictes pour protéger les informations sensibles. Cependant, l’usage de la mention “certifié HDS” peut être équivoque.

Les entreprises et les professionnels traitant des données de santé (médecins libéraux, cabinets d’infirmiers, sages-femmes libérales, cabinets de radiologie, établissements de santé, etc.) doivent naviguer avec prudence dans un marché où la distinction entre offres réellement certifiées HDS et prétendues telles n’est pas toujours claire. Les risques juridiques liés à une mauvaise interprétation ou à une utilisation inappropriée de solutions non certifiées sont considérables. Le non-respect de la réglementation peut entraîner des sanctions financières, la responsabilité civile et pénale en cas de préjudice important, mais aussi des sanctions supplémentaires liées à la RGPD. Sans parler du risque d’interruption de service ou de fermeture forcée des services et ses conséquences !

Un exemple concret : un médecin utilisant Gmail pour des communications professionnelles et l’échange de données de santé (ordonnance, bilans…) s’expose à des sanctions de la part de la CNIL pour non respect des obligations réglementaires, d’autant plus dans le cas où les données échangées seraient l’objet de fuites. Google Cloud est bien certifié HDS, mais cela ne s’étend pas à tous les services de Google. En effet, la certification HDS est accordée à un service, une offre, un logiciel, ou un produit, et non à toutes les activités d’une entreprise. Les éditeurs de solutions sérieux le précisent d’ailleurs dans leur documentation ou leur site internet (ce que fait très bien Google d’ailleurs). La vigilance est donc de mise pour vérifier que les outils utilisés sont spécifiquement certifiés HDS et conformes, légalement parlant, pour y stocker des données de santé.

Des critères de conformité essentiels

La version actuelle de la certification HDS, alignée sur les normes ISO internationales (ISO 27001 notamment), est entrée en vigueur en 2018. L’Agence du Numérique en Santé (ANS), qui édite le référentiel HDS, a opté pour une certification moins stricte que SecNumCloud.

C’est une bonne chose dans le sens où cela rend la certification accessible à une pluralité d’acteurs, géants du cloud comme hébergeurs/éditeurs locaux. Tous valorisent cette certification pour des outils SaaS destinés au personnel médical, qui bénéficient de ce fait d’un éventail large de prestataires possibles.

Ainsi, l’ANS indique que 284 acteurs disposent de la certification HDS en décembre 2023.

La certification HDS relève d’un processus d’audit très strict. En outre, elle se décompose en plusieurs niveaux - qui vont de l’infrastructure physique à la sauvegarde externalisée des données (voir encadré). C’est là que le diable se cache dans les détails : certains fournisseurs de solutions s’affichent comme certifiés HDS, simplement parce qu’ils recourent à un hébergeur certifié (niveau 1, 2, et éventuellement 3), alors qu’ils ne sont pas certifiés pour les niveaux supérieurs (infogérance et sauvegarde notamment).

Choix du prestataire HDS : points clés à vérifier

Lors du choix du prestataire, il est donc essentiel de vérifier les informations suivantes :

• Certification sur toute la chaîne : Assurez-vous que le fournisseur est certifié HDS, et que toutes les couches sont couvertes, notamment les couches 4, 5 et 6. Ces couches 4, 5 et 6 se réfèrent à des aspects spécifiques du traitement et de la gestion des données de santé : l’infogérance des infrastructures virtuelles, l’exploitation et l’administration des applications et la sauvegarde des données. Si toutes les couches ne sont pas couvertes, vérifier que les sous-traitants (notamment hébergeur) sont certifiés. A noter : lors de votre passage chez un fournisseur certifié HDS, vérifiez que vous prenez bien la partie de l’offre qui est certifiée en le faisant noter précisément sur votre contrat.

• Références ANS* VS Certification HDS : Veillez à ne pas confondre solutions référencées ANS et solutions certifiées HDS. L’ANS a en effet référencé un certain nombre de solutions dans le cadre du Ségur Numérique. Elles répondent à des critères de qualité, de sécurité et d’interopérabilité des systèmes d’information de santé. Ce référencement est distinct de la certification HDS, qui concerne spécifiquement les services d’hébergement de données. Une solution référencée par l’Agence Numérique en Santé (ANS) n’est pas automatiquement certifiée HDS, et vice versa.

Il incombe aux utilisateurs de faire preuve de vigilance et de choisir des solutions certifiées HDS sur toute la chaîne. Ils peuvent aussi anticiper les évolutions futures du référentiel HDS. Celui -ci va se renforcer en termes d’exigences relatives à la souveraineté des données. Dès aujourd’hui, le choix d’un hébergement souverain en France ou en Europe sera plus judicieux sur le long terme.

HDS : 6 niveaux de certification

Les différents niveaux de certification HDS portent sur la mise à disposition et de maintien en condition opérationnelle.

1. Infrastructure physique des data centers : Ce niveau inclut des aspects tels que la sécurité physique, la protection contre les incendies, l’alimentation électrique, la climatisation, et la gestion des accès.

2. Infrastructure virtuelle : Ce niveau inclut la virtualisation des serveurs, le stockage et les réseaux. Les exigences couvrent la mise en place de mesures de sécurité pour protéger l’environnement virtuel et assurer la continuité des services.

3. Plateforme d’hébergement : À ce niveau, la certification évalue la plateforme utilisée pour l’hébergement des applications et des données. Cela inclut la gestion des bases de données, l’administration des systèmes d’exploitation, et les aspects liés à la mise à jour et à la maintenance de la plateforme.

4. Gestion de la sécurité du système d’information : Ce niveau inclut la mise en place d’une politique de sécurité, la gestion des risques, les procédures de sauvegarde et de reprise après sinistre, ainsi que les processus de gestion des incidents de sécurité.

5. Gestion des processus d’exploitation du service d’hébergement : Ce niveau couvre la gestion et l’exploitation quotidienne des services d’hébergement. Il s’agit notamment de la gestion des changements, des mises à jour, de la surveillance du système, et du support client.

6. Gestion du processus de fin de contrat : Le dernier niveau concerne la fin de contrat d’hébergement. Il inclut les processus pour la restitution ou la destruction des données, la transition vers un autre hébergeur, et s’assure que toutes les données sont traitées de manière sécurisée lors de la fin de l’hébergement.