Hébergeurs de données de santé: certifiés conformes

Le décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel a été publié le 28 février 2018 au Journal officiel. Le décret définit notamment les modalités de mise en œuvre de la procédure de certification des hébergeurs de données de santé.

Contexte

Le décret est pris en application de l'ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement des données de santé à caractère personnel qui a largement modifié l'article L.1111-8 du Code de la Santé Publique (CSP). Pour rappel, cette version mise à jour de l'article, qui entrera en vigueur le 1er avril 2018, prévoit le passage d'une procédure d'agrément – actuellement régie par le décret n° 2006-6 du 4 janvier 2006 – à une procédure de certification par des organismes accrédités pour les hébergeurs de données de santé à caractère personnel sur support numérique.

Il est à noter qu'une procédure d'agrément demeurera applicable aux hébergeurs de données de santé sur support papier et aux hébergeurs sur support numérique dans le cadre d'un service d'archivage électronique.

Le nouveau dispositif de certification est défini notamment par l'Agence des Systèmes d'Information Partagés de Santé (l'ASIP), précédemment en charge de délivrer les agréments, qui a élaboré les référentiels de certification dont les versions provisoires peuvent être consultées sur le site esante.gouv.fr et seront approuvées par arrêté du Ministre chargé de la santé. Ces référentiels se composent du Référentiel de certification des hébergeurs et du Référentiel d'accréditation pour les organismes souhaitant délivrer une certification.

La nouvelle procédure de certification répond ainsi aux objectifs de transparence et de prédictibilité car elle s'appuie sur des normes internationales existantes et connues des industriels. Par ailleurs, la lourdeur administrative actuelle devrait faire place à des délais réduits.

Cette nouvelle procédure s'inscrit dans la démarche d'assouplissement du régime des hébergeurs de données de santé, initiée par la Loi Santé du 26 janvier 2016, qui a également remplacé l'obligation de recueil du consentement du patient à l’hébergement de ses données de santé par une obligation d’information préalable du patient et une possibilité d'opposition du patient à cet hébergement, pour un motif légitime.

Les éléments essentiels à retenir de la procédure de certification

  • Le choix d'un organisme certificateur accrédité

L’hébergeur doit choisir un organisme certificateur accrédité par le Comité français d’accréditation COFRAC (ou tout autre organisme d'accréditation équivalent au niveau européen).

L’organisme certificateur est accrédité conformément au Référentiel d’accréditation qui s'appuie sur les normes ISO 17021 « Certification de systèmes de management » et ISO 27006 « Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information ».

L'accréditation « atteste de la compétence, de l’impartialité et de la fiabilité d’un organisme à vérifier la conformité à des exigences établies et formalisées ».

  • Le périmètre d'application de la certification

Le décret et le Référentiel de certification précisent le périmètre des activités d'hébergement soumises à certification.

Le nouvel article R.1111-8-8 CSP:

  • énonce que la procédure de certification est applicable à toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social pour le compte de responsables de traitement à l'origine de la production ou du recueil de ces données ou pour le compte du patient;
  • précise que ne constitue pas une activité d'hébergement au sens de l'article L.1111-8 CSP l'hébergement temporaire de données de santé à l'occasion d'une prestation de traitement de saisie, de mise en forme, de matérialisation ou de dématérialisation de ces données pour le compte de l'acteur de santé;
  • prévoit l'obligation, pour les responsables de traitement qui confient l'hébergement de données de santé à caractère personnel à un tiers, de s'assurer que ce dernier est titulaire d'un certificat de conformité

Les prestations d’hébergement de données de santé sur support numérique qui relèvent de la procédure de certification sont définies par le décret (article R.1111-9 CSP) et par le Référentiel de certification:

1° La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé;
2° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé;
3° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé;
4° La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information;
5° L'administration et l'exploitation du système d'information contenant les données de santé;
6° La sauvegarde des données de santé.

  • Les conditions d'obtention de la certification

La certification de l'hébergeur de données de santé sur support numérique sera désormais obligatoire en lieu et place de l'agrément.

Seuls les organismes accrédités sont autorisés à délivrer le certificat de conformité sur le fondement du Référentiel de certification et selon les conditions de délivrance fixées par le décret.

Le Référentiel de certification s'appuie sur les exigences des normes ISO 27001 « Système de gestion de la sécurité des systèmes d’information », ISO 20000 « Système de gestion de la qualité des services », ISO 27018 « Protection des données à caractère personnel », ainsi que des exigences spécifiques à l’hébergement de données de santé.

Deux types de certifications peuvent être délivrés:

  • une certification « hébergeur d'infrastructure physique » pour les activités de mise à disposition de locaux d'hébergement physique et d'infrastructure matérielle (article R.1111-9 1° et 2° CSP);
  • une certification «hébergeur infogéreur » pour les activités de mise à disposition d'infrastructure virtuelle et de plateforme logicielle, les activités d'infogérance et de sauvegarde de données de santé (article R.1111-9 3° à 6° CSP).

Le Référentiel de certification précise les exigences applicables pour chacun des types de certification. Lorsque l'hébergeur exerce à la fois des prestations d'hébergeur d'infrastructure physique et d'hébergeur infogéreur, il doit obtenir les deux certifications et est évalué pour la conformité à toutes les exigences correspondantes.

L'organisme accrédité mène un audit en deux phases afin d'évaluer la conformité de l’hébergeur aux exigences du Référentiel de certification:

  • un audit documentaire au cours duquel l'organisme accrédité effectue une revue documentaire du système d’information afin de déterminer la conformité par rapport aux exigences du Référentiel de certification;
  • un audit sur site au cours duquel l'organisme accrédité recueille des preuves d'audit.

La certification est délivrée pour une durée de trois ans et, chaque année, l'organisme certificateur effectue un audit de surveillance.Les hébergeurs certifiés doivent soumettre une demande de recertification auprès de l'organisme accrédité au plus tard trois mois avant la date de fin de validité de la certification.

  • Le contrat d'hébergement de données de santé

Le décret modifie les clauses qui doivent figurer a minima dans le contrat d'hébergement conclu entre l'hébergeur certifié et son client. Nous vous invitons à consulter le nouvel article R.1111-11 CSP qui liste ces clauses.

  • Entrée en vigueur et dispositions transitoires

La procédure de certification entrera en vigueur le 1er avril 2018.

Le décret prévoit les modalités de transition entre la procédure d'agrément et la procédure de certification. La procédure d'agrément est maintenue pendant une période transitoire:

  • les dossiers de demande d’agrément reçus avant le 31 mars 2018 sont traités selon la procédure d’agrément actuellement en vigueur;
  • tout nouvelle demande à compter du 1er avril 2018 est traitée selon la procédure de certification;
  • les agréments qui arrivent à échéance avant le 31 mars 2019 sont prolongés de six mois afin de permettre à l'hébergeur d'effectuer les démarches conformément à la nouvelle procédure de certification.
 


Version PDF Partager Retour
Loading data