20/02/2019

Hébergement des données de santé : pourquoi passer directement à la certification ?

Photo_HDS

Une nouvelle procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique va remplacer l’actuelle procédure d’agrément au 1er avril 2018. A ce titre, l’ASIP Santé encourage vivement les candidats qui souhaitent déposer des dossiers HDS à privilégier la procédure de certification plutôt que celle de l’agrément.


Depuis 2009, l’ASIP Santé a joué un rôle pivot dans la régulation des hébergeurs de données de santé (HDS). Pendant neuf ans, l’agence a assuré le secrétariat de la procédure d’agrément mais aussi pré-instruit les éléments juridiques, techniques et financiers présentés par les candidats qui souhaitaient obtenir l’agrément HDS. En lien avec le ministère des Solidarités et de la Santé (délégation à la stratégie des systèmes d’information de santé, DSSIS), l’ASIP Santé travaille depuis plusieurs mois à la nouvelle procédure de certification. Cette nouvelle procédure a été définie par les pouvoirs publics en concertation avec les ordres des professions de santé, les fédérations d’entreprises du secteur de la santé, les associations de patients, les fédérations d’établissements de santé et la CNIL. Celle-ci prévoit d’encadrer l’activité d’hébergement de données de santé par une évaluation de conformité à un référentiel de certification. Cette certification sera délivrée par un organisme de certification accrédité par le COFRAC (ou équivalent au niveau européen). Les grands principes de la certification seront précisés prochainement par un décret en Conseil d’Etat. Dans cette période de transition, l’agence a publié fin novembre 2017 les premiers référentiels d’accréditation et de certification qui doivent permettre aux acteurs concernés d’anticiper leur mise en oeuvre.


Les hébergeurs de données de santé doivent privilégier cette nouvelle procédure, qui vise à renforcer leur positionnement en tant que professionnel de l’hébergement apportant un niveau de service qui garantit la sécurité et la confidentialité des données de santé.


Les atouts de la procédure de certification :

La procédure de certification permet de s’aligner avec les grands standards internationaux de l’ISO :

  • les exigences de la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information »;
  • des exigences de la norme ISO 20000 « système de gestion de la qualité des services » ;
  • des exigences de la norme ISO 27018 « protection des données à caractère personnel ». En outre, elle est complétée de quelques points de contrôles adaptés à la particulière sensibilité des données de santé.

Cette spécificité française pourra ainsi s’exporter, constituer un gage de sécurité des services
d’hébergement de données de santé et devenir un réel atout concurrentiel, au-delà du territoire
français.


Les demandes d’agrément en cours


Dans ce contexte de transition, les candidats actuellement engagés dans la constitution d’un dossier de demande d’agrément doivent être particulièrement vigilants à la qualité de leur dossier (bienfondé et complétude du dossier). Il est rappelé qu’en cas de demande de compléments, les candidats disposent d’un délai maximum de deux mois pour y répondre.

Passé ce délai, l’instruction du dossier est poursuivie en l’état et risque de conduire à un avis
défavorable.


C’est pourquoi, l’ASIP Santé encourage les candidats à favoriser cette nouvelle procédure. La
mise en oeuvre de la procédure de certification est une prévalence pour les industriels qui
souhaitent devenir hébergeurs de données de santé.
Ainsi, ils anticiperont et mettront en avant
leur capacité d’adaptation à la protection des données de santé à caractère personnel.
Toutes les informations concernant l’ouverture de la procédure de certification ou de demande
d’agrément sont disponibles sur le site e-sante.gouv.fr (rubrique Services – hébergement des
données de santé).