La transformation numérique touche tous les secteurs d’activité de manière plus ou moins accentuée. Certains secteurs et métiers en ont fait un facteur évident de l’amélioration de la productivité. Dans les établissements de santé, ce passage vers la dématérialisation a commencé tardivement et le sujet de la protection des données n’a vu le jour que récemment. La certification HDS visant à garantir la qualité de service des hébergeurs de données de santé vient concrétiser ce bond vers une disponibilité et une accessibilité accrue des informations liées aux patients, le tout accéléré par une digitalisation des processus et de l’information.
Cette évolution a eu lieu dans un contexte d’une volonté globale de protection des données personnelles de santé que nous allons aborder.
Les données personnelles de santé à l’heure du numérique
Quelle définition pour les données de santé ?
Pour savoir ce qu’est une donnée de santé, orientons nous vers la définition de la CNIL (Commission Nationale de l’informatique et des Libertés). Ainsi, les données de santé sont l’ensemble des données abordant l’état mental, physique, passé, actuel ou futur d’une personne physique permettant de connaître son état de santé global. Sont compris dans cette définition les éléments suivants :
- Une inscription en vue de bénéficier de soins ou de services de santé Il peut s’agir d’un numéro, d’un identifiant qui permet de l’identifier
- Les informations venant de l’analyse d’une partie du corps, d’un test génétique ou encore de l’analyse d’échantillons biologiques
- Les informations caractérisant l’état physique ou mental passé, présent et futur qu’il s’agisse de handicap ou de maladie sans qu’elle ne soit nécessairement précisées par un établissement de santé.
Il s’agit de toutes les informations permettant de déterminer ou de déduire l’état de santé d’une personne physique.
Du fait de leur criticité, elles font partie intégrante des informations incluses dans les données sensibles définies par la CNIL. Dans le but de construire une réglementation forte autour de leur utilisation, la Commission Européenne les intègre dans le Règlement Général de Protection des Données (RGPD).
Le RGPD offre un cadre réglementaire à respecter par tous les professionnels de santé pour la gestion des données personnelles. L’hébergement de ces informations doit donc se faire dans des conditions de sécurité élevée, d’où la création de la certification HDS (des hébergeurs de données de santé) afin de mettre en place un label de qualité et de sécurité pour la gestion de ces données sensibles de santé.
Certification HDS et RGPD : les grands principes de la réglementation des professionnels de santé
La protection des données de santé est régie par le même texte que l’ensemble des secteurs d’activité en Europe, à savoir le RGPD, en place depuis 2018.
- Nommez un DPO ( Data Protection Officer)
Cet élément, chargé de la protection des données, aura pour mission d’informer, conseiller et de contrôler en interne la conformité de l’établissement.
- Référencez l’ensemble de vos traitements de données personnelles
Elaborez un registre de l’ensemble de vos traitements de données personnelles vous permet de mesurer l’impact de la réglementation sur votre activité.
- Documentez l’ensemble des processus assurant votre conformité au règlement.
Les professionnels de santé doivent être en mesure de prouver à tout moment le respect des exigences du RGPD via la documentation.
- Garantir la transparence vis à vis des patients
Il est important de communiquer clairement aux patients sur le traitement des données sensibles (y compris sur les incidents de sécurité) et de garantir la pertinence des informations collectées.
Ces grands principes de gestion de la donnée sensible doivent s’inscrire dans des conditions de sécurité et de confidentialité élevées. (pseudonymisation, authentification, formation à la sécurité… etc.)
La certification HDS renforce ces mesures de sécurité. Elle apparaît comme un sas de préparation à la conformité avec le RGPD. Comme c’est le cas pour ce dernier, le respect de la norme ISO 27001 (norme internationale sur la sécurité des systèmes d’information) est une étape phare pour l’obtention de la certification HDS.
Si les prestataires devaient auparavant obtenir un agrément pour devenir hébergeur de de données de santé (décret de 2006 délivré par le Ministère de la Santé), c’est la certification qui est aujourd’hui de mise. Elle doit être délivrée par un organisme certificateur accrédité par le COFRAC (Comité Français d’Accréditation). Le certificat est valable pour une durée de 3 ans et un audit est effectué tous les ans afin de vérifier la conformité.
Certification HDS et cybersécurité : où en sommes-nous ?
En mars 2020, nous en étions à 100 organismes certifiés allant de la start-up aux très grandes entreprises. Ce nombre assez élevé de prestataires est un gage de qualité et de simplicité du processus pour l’obtention de la précieuse certification.
Les 6 niveaux d’activités pour qu’un hébergeur puisse être officiellement certifié
Il s’agit de missions de mise à disposition et de maintien en condition opérationnelle des élements suivants :
- l’infrastructure matérielle du système d’information
- la plateforme d’hébergement d’application du Système d’information
- l’infrastructure virtuelle du système d’information
- l’exploitation du système contenant les données de santé
- la sauvegarde des données de santé
Les établissements de santé font partie des organismes les plus touchés par les cyberattaques. Les hôpitaux manquent d’effectif et surtout de budget pour adresser ce type de problématique. Le but des professionnels de santé est de résister en priorité à la pression financière dont ils sont victimes, reléguant les problématiques de cybersécurité au second plan. L’État a pourtant lancé en 2016, le « Programme Hôpital Numérique » afin de les aider à lancer leur transformation digitale. On estime que 30% des cyberattaques dans le monde pendant la crise du COVID-19 ont eu lieu dans les établissements de santé. Ce sont particulièrement les données sensibles de santé qui permettent aux pirates de demander des sommes importantes en gage de rançon (ransomware). Actuellement, l’objectif des RSSI des établissements de santé est d’éviter les cyberattaques avec les moyens à disposition. Dans cette situation, la problématique de la souveraineté des données n’est pas prise en compte dans les plans d’action. Les hébergeurs de données de santé certifiés sont désormais les points forts de la cybersécurité dans le secteur.
Le défi de la souveraineté dans le secteur de la donnée sensible de santé
La polémique autour du Health Data Hub met le secteur de la santé au cœur de l’actualité. Il s’agit d’une plateforme française, mise en place par le gouvernement, agrégeant l’ensemble des données de santé du SNDS (Système National des Données de Santé) afin de générer des modèles grâce l’Intelligence Artificielle pour la Recherche. L’hébergeur de données de santé pour cet outil est Microsoft, ce qui va à l’encontre de la volonté de souveraineté numérique de toute la classe politique et de la Frenchtech en particulier. L’écosystème français dispose de grands noms du web munis de la certifications HDS qui pourraient très bien mener à bien cette mission. Le Cloud de Microsoft, étant soumis au Cloud Act, les données ne sont donc pas à l’abri d’un partage avec les autorités américaines en cas d’enquête. C’est aussi un sujet en résonance avec celui de la dépendance technologique vis-à-vis des solutions américaines notamment dans le contexte du COVID-19. Susceptible d’évoluer, l’hébergement de ces données de santé du Health Data Hub devraient, à terme, revenir à un acteur du cloud français.
L’hébergement des données de santé est un marché porteur de nombreux projets, preuve en est, le nombre de certifications et la quantité d’acteurs du cloud européens et américains se mobilisant pour faire entendre leur voix au sujet du Health Data Hub. C’est aussi la marque d’une amélioration des conditions d’hébergement des données de santé en France.
Découvrez notre solution de sauvegarde en ligne sécurisée : oodrive_save