Certification des hébergeurs de données de santé

Procédure de certification

La procédure de certification repose sur une évaluation de conformité au référentiel de certification.
L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen).
L’organisme procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification. Il vérifie notamment l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur.

  • Étape 1 : audit documentaire. L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification.
  • Étape 2 : audit sur site. Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation.

L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. Passé ce délai et sans action de l’hébergeur, toute la procédure d’audit sur site sera de nouveau réalisée.
Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur et chaque année, un audit de surveillance est effectué.

HDS Etapes certification

Périmètres de certification

Deux périmètres de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts :

  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle 

Prestation d'hébergeurs d'infrastructure physique
  • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée 

Prestation d'hébergeur infogéreur

Note 1 : si l’activité de l’hébergeur s’inscrit dans les deux types d’activité, l’hébergeur doit obtenir les deux certifications.

Note 2 : pour plus de précisions sur l'activité 5, consulter le document "Précisions du Ministère sur le champs d’application."

Historique de l'élaboration de la procédure

Historique de l'élaboration de la procédure
Les objectifs et modalités de mise en œuvre de la procédure de certification ont été élaborés par l’Agence du Numérique en Santé et la DSSIS en concertation avec la communauté d’institutionnels et d’industriels référente.
  • concertation autour du décret HDS : avril/mai 2017 ;
  • présentation de l’évolution de la procédure au salon HIT : mai 2017 ;
  • notification à la commission européenne : juillet 2017 ; 
  • publication du référentiel de certification et d’accréditation sur le site e-sante.gouv.fr : novembre 2017.