Qairn et Clardian unissent leurs forces et donnent naissance à UBAQ ! En savoir plus
La certification des hébergeurs de données de santé (HDS) en France, instaurée par le décret n° 2018-137 du 26 février 2018, représente un pilier essentiel pour assurer la sécurité des données de santé. Et à ce jour, ce sont près de 284 acteurs qui ont obtenus cette certification.
Cinq ans après sa mise en place, d'importantes évolutions ont été initiées par la Délégation du Numérique en Santé et l’Agence du Numérique en Santé.
Découvrez les nouvelles évolutions au travers de notre article de blog.
La procédure de certification consiste en une évaluation de conformité au référentiel de certification. L'hébergeur choisit un organisme certifié par le COFRAC (ou équivalent européen) pour réaliser un audit en deux étapes.
La première étape, l'audit documentaire, examine la conformité du système d'information aux exigences du référentiel. La deuxième étape, l'audit sur site, collecte des preuves d'audit selon les conditions définies dans le référentiel d'accréditation. Le certificat est délivré pour trois ans, suivi d'audits de surveillance annuels.
Deux certifications distinctes existent : "hébergeur d'infrastructure physique" pour les locaux et le matériel, et "hébergeur infogéreur" pour l'infrastructure virtuelle, le logiciel, l'administration, et la sauvegarde externalisée.
La démarche de révision du référentiel de certification HDS, débutée en 2022, s'est appuyée sur une collaboration entre la Commission Nationale de l’Informatique et des Libertés (CNIL), le Haut Fonctionnaire de Défense et de Sécurité du ministère de la santé (HFDS), les fédérations d’industriels de l’écosystème, et les organismes certificateurs.
Après une concertation publique en 2022, l'Agence du Numérique en Santé a intégré plus de 250 contributions, aboutissant à une version révisée du référentiel.
La révision du référentiel apporte des modifications significatives, visant à renforcer la souveraineté des données, clarifier le périmètre des activités d'hébergement, préciser l'articulation avec d'autres certifications, et intégrer les évolutions de la norme ISO 27001.
Parmi ces changements, un focus particulier est mis sur les exigences relatives à la souveraineté des données, incluant des mesures concrètes telles que l'obligation d'héberger physiquement les données de santé exclusivement dans l'Espace Economique Européen.
En parallèle, le référentiel d'accréditation des organismes certificateurs a également connu des évolutions, avec une harmonisation des points en miroir du référentiel HDS et des mises à jour en lien avec la norme ISO 27001.
Ces ajustements contribuent à renforcer la cohérence du processus d'accréditation, assurant ainsi une évaluation robuste des hébergeurs de données de santé.
Le projet d'arrêté approuvant la version révisée des référentiels a été notifié à la Commission européenne.
Après une période de statu quo de trois mois, il sera publié au Journal officiel. Dès lors, les organismes certificateurs auront six mois pour adapter leurs procédures de certification.
Le nouveau référentiel HDS sera donc applicable au début du deuxième semestre 2024, marquant une nouvelle étape dans la garantie de la sécurité des données de santé en France.
L'évolution des référentiels de certification et d'accréditation pour l'hébergement des données de santé témoigne de l'engagement continu des autorités sanitaires envers la sécurité numérique. Ces changements, fruit d'une démarche collaborative et transparente, renforcent la confiance des acteurs du secteur et contribuent à la protection des données sensibles.
La prochaine révision, alignée sur les futures normes européennes, promet d'assurer une sécurité toujours plus accrue dans le domaine de l'hébergement des données de santé.
.png)
.png)
